cURL e esposizione all'autenticazione dell'API resto personalizzata

1

Sto sviluppando un'API che è pianificata per utilizzare la modalità di autenticazione utente e password semplice. Ho esperienza con le richieste HTTP e tendevo a pensare tutto come richiesta HTTP.

Poiché il nome utente e la password non dovrebbero mai essere esposti, una richiesta CURL nasconderebbe le informazioni di autenticazione o apparirebbe come qualsiasi altro valore di post su Fiddler o sul monitor di rete di Chrome?

    
posta Fabiano 12.02.2014 - 18:54
fonte

1 risposta

1

Ci sono un paio di pezzi per questo.

Se ti connetti alla tua API su una connessione non criptata, il nome utente / password e tutto il resto saranno visibili alle persone che possono annusare il traffico. Cose come l'autenticazione HTTP Digest renderanno le cose un po 'più difficili ma alla fine c'è ancora una vulnerabilità lì. Se (per qualsiasi motivo) non puoi usare SSL HTTP Digest è meglio di HTTP basic.

Supponendo di configurare SSL per proteggere le informazioni in transito, la visibilità dei crediti dipenderà dal modo in cui configuri le cose.

Se si imposta il proxy come qualcosa di simile a Fiddler e lo si imposta per intercettare le connessioni SSL, quando i dati passano il violinista sarà visibile lì, altrimenti non dovrebbe essere visibile.

Una cosa da notare in tutto questo è che non dovrebbe importare quale strumento lato client stai usando qui (cURL / wget / un browser) la sicurezza è configurata sul lato server.

    
risposta data 12.02.2014 - 20:15
fonte

Leggi altre domande sui tag