Questo servizio web basato su token è sicuro?

2

Nota: domanda originale posta a link ma qui sembra essere il posto giusto per questo.

La società per cui lavoro attualmente ha un'applicazione interna, fornisce alcune API RESTful (una specie, solo una raccolta di URL). Per accedere alle API al di fuori della rete aziendale sarebbe necessaria una connessione HTTPS e un token (se si accede all'interno della rete aziendale, non viene applicata alcuna restrizione).

Per chiamare un'API, il chiamante (un'altra applicazione o dipendente interna) dovrà creare un token con qualcosa del tipo:

  1. Ordina i parametri URL
  2. Hash parte dell'URL ordinato con un salt (costante globale)
  3. Utilizza una sottostringa dell'hash come token
  4. Aggiungi quel token come parametro nell'URL e invia la richiesta

Il server eseguirà lo stesso algoritmo sull'URL originale, se il token esce lo stesso, la richiesta è considerata autenticata.

Non sono un esperto di sicurezza, ma questo mi sembra sbagliato, ma non riesco a spiegare pienamente il perché. Quindi chiedo aiuto agli esperti di sicurezza, quali sono i problemi che vedi qui? O sono troppo paranoico?

Grazie.

    
posta Community 03.06.2014 - 12:40
fonte

2 risposte

4

Fornisce l'autenticazione zero della singola chiamata o l'autenticità della chiamata originale che passa attraverso il server. Questo potrebbe essere stato inteso come un modo per verificare che la richiesta non sia stata alterata, ma a meno che non stia effettivamente formando una firma piuttosto che un hash, questo non fornisce alcuna sicurezza.

Se l'hash è firmato, diventa un modo sicuro per autenticare i parametri della richiesta sono autentici in quanto l'hash consente di verificare che i parametri non siano cambiati e la firma impedisce a un utente malintenzionato di generare il proprio hash per abbinare parametri falsi. / p>     

risposta data 03.06.2014 - 15:35
fonte
0

Hai ragione. Questa è una scarsa sicurezza. Si basa su un processo segreto piuttosto che su una chiave segreta. Qualsiasi sicurezza che si basa sul mantenere il processo segreto è intrinsecamente insicura

    
risposta data 03.06.2014 - 18:26
fonte

Leggi altre domande sui tag