Sicuro per memorizzare le chiavi API in sessione?

1

Scenario:

  • L'app è ospitata su un server condiviso (il provider di hosting può vedere i file di configurazione se lo desidera).
  • L'app deve utilizzare una chiave API di un servizio di terze parti.

Considerando questo scenario di "budget ristretto", sarebbe meglio inserire la chiave API ogni login e memorizzarlo in una variabile di sessione invece di memorizzarlo con hard-coded (ad es. all'interno di config.php )? O quali sono i modi migliori per archiviare chiavi API di terze parti all'interno del tuo software?

    
posta IMB 06.09.2016 - 00:15
fonte

1 risposta

4

No, memorizzarlo in una variabile di sessione non ti proteggerà contro il tuo provider di hosting rubandolo.

La variabile di sessione sarà un cookie inviato avanti e indietro con ogni richiesta o sessione sul lato server. In entrambi i casi, il server ha accesso alla chiave e anche chi controlla il server lo fa.

Quindi non aggiunge sicurezza, sembra un grave inconveniente e potrebbe esporvi ad altre minacce (come che perde il cookie ad un terza parte).

Come regola generale, le chiavi API dovrebbero essere accessibili a chiunque le userà. Se il server è quello che utilizza la chiave, il client non ha alcun rapporto con esso.

È possibile archiviarlo crittografato sul server e decodificarlo con le informazioni di accesso al momento dell'accesso. È ancora teatro di sicurezza, ma almeno non ti disturba (l'utente) oltre la configurazione iniziale.

    
risposta data 06.09.2016 - 16:28
fonte

Leggi altre domande sui tag