Una semplice API REST mobile ha bisogno di HTTPS?

1

Diciamo che ho un'app mobile molto semplice con un'API del server. Ad esempio, una sorta di applicazione Q & A, in cui gli utenti rispondono alle domande per vincere alcuni punti (tipo "Chi vuole essere un milionario").

Gli utenti possono scaricare nuove domande dall'API di un server. Successivamente, gli utenti possono caricare nuove domande formulate per contribuire a un database comune di domande.

Mi è stato praticamente insegnato a usare un HTTPS sui server di produzione. Tuttavia: ho davvero bisogno di usare HTTPS con un qualche tipo di token di sicurezza in questo caso? C'è un modo per iniettare alcune domande dannose se viene usato un semplice HTTP? O altre minacce?

    
posta tsusanka 05.12.2013 - 23:50
fonte

2 risposte

5

Ti interessa se una terza parte controlla o modifica una richiesta in transito dal cliente a te o da te al cliente?

Se non ti interessa, usa semplicemente HTTP. Se ti interessa, utilizza HTTPS.

C'è un modo per iniettare alcune domande dannose se si usa HTTP semplice? Assolutamente, la vera domanda è che giustifica il costo aggiuntivo dello sviluppo di un sistema HTTPS per evitare che ciò accada? (il più delle volte il costo aggiuntivo per implementare HTTPS su HTTP è così minimo che la risposta alla domanda di solito è "sì, il costo è giustificato")

    
risposta data 06.12.2013 - 06:27
fonte
0

Usi qualche autenticazione per la tua API? Se lo fai, dovresti prendere in considerazione la perdita di credenziali degli utenti.

OAuth 1.0a ti consente di stare al sicuro da questo, poiché la chiave privata non viene mai trasmessa, ma viene invece utilizzata per creare la firma crittografica. Con OAuth2 o schemi di autenticazione "classici" le credenziali degli utenti vengono trasmesse in chiaro e devi proteggerle con HTTPS.

    
risposta data 06.12.2013 - 13:12
fonte

Leggi altre domande sui tag