Protezione dell'API REST per l'utilizzo mobile con OAuth

1

Sono un completo noob sulla sicurezza, quindi per favore, perdonami se dico qualcosa di sbagliato.

Devo sviluppare un social network. Il client sarà un'app per Android e (probabilmente) una pagina Web per smartphone che utilizzerà un'API REST. A causa delle caratteristiche del social network, se le informazioni di un utente vengono rubate, non è molto importante, ma devo identificare ogni utente tramite login username / password e devo essere sicuro che ogni messaggio provenga dall'utente legittimo .

Non voglio usare SSL (TLS) perché non ho molte risorse, quindi non voglio soffrire la latenza di SSL e non voglio pagare il certificato. Quindi, sarebbe una buona idea usare OAuth per proteggere l'API REST? Ci sono approcci migliori?

    
posta Alex Text 30.10.2013 - 12:25
fonte

1 risposta

1

HTTPS è un requisito assoluto per la comunicazione autenticata. HTTPS tipicamente aumenta le richieste della CPU di meno del 2% e, a parte l'iniziale handshake HTTPS, non aumenterà la rete. Senza HTTPS si sta violando OWASP - Insufficient Transport Layer Security . La sicurezza non è solo HTTPS, se stai "assicurando un'API REST", devi preoccuparti di altri vulenrabliti e la top 10 di OWASP è un buon punto di partenza.

(Da una nota a parte, dopo tanti anni sono ancora sorpreso che la gente pensi che HTTPS sia facoltativo e che in qualche modo la crittografia è un enorme fardello. Posso eseguire qualche milione di operazioni AES al secondo e il più delle volte Non riesco a caricare una pagina Web in meno di un secondo Perché le persone pensano che la crittografia sia pesante? Vorrei una spiegazione.)

    
risposta data 01.11.2013 - 20:11
fonte

Leggi altre domande sui tag