Qual è il punto in "autenticazione di un'applicazione" con il suo nome di dominio contro un db?

1

Come autodidatta alla scoperta dello sviluppo professionale, mi imbatto quotidianamente in cose che mi lasciano perplesso.

In parole povere: dovrei lavorare su una vecchia applicazione ZF1 (con codice veramente brutto, ternari imbricati, condizioni interne all'assegnazione e cose senza commenti), ma da venerdì non ho iniziato comunque a lavorare perché ... I non riesco a scoprire come "autenticare correttamente l'applicazione"! L'applicazione effettua una chiamata SOAP al "portale", passandogli una versione troncata da HTTP_HOST, che viene quindi controllata per la sua presenza in un database. La riga corrispondente è composta essenzialmente da nomi di dominio senza sottodomini, una password in testo semplice e un array serializzato che viene restituito all'applicazione.

Se fallisce, lancia un'eccezione con il messaggio "110" (significativo in huh), niente lo cattura così: errore fatale.

Per quanto comprendo ciò che dice il mio capo (sono autodidatta su siti e libri in inglese, non è proprio un dev o un architetto o un oratore inglese, quindi il dialogo potrebbe diventare strano): "questo è sicuro l'applicazione, in modo che nessuno sarebbe in grado di utilizzare il nostro codice per simulare la nostra applicazione attraverso un dominio simile al nostro ". Anche se cerco di mantenermi informato il più possibile, la mia conoscenza della sicurezza non è sufficiente per rispondere a me stesso ... Ma sento che la loro sicurezza è totalmente inutile !! Se "usano il loro codice" è perché i cattivi hanno accesso ad esso ... quindi al server ... e tuttavia, se ottengo il codice, ho solo bisogno di liberarmi del processo di autenticazione ... o di fingere nome di dominio quando si effettua la chiamata SOAP ... Posso semplicemente riprodurre ...

Questo ha senso ?? Le richieste su SSL / TLS non sono molto più sicure di questo tipo di lavoro di fortuna ??

Domanda bonus: qual è il punto nel rispondere con un codice "Welcome to nowhere" 200 anziché un 503 o qualsiasi altra cosa quando si richiede l'IP del server ?? Salvo dire ai cattivi "HEY, ecco da nessuna parte, ma c'è ancora qualcosa dietro !!"

Grazie!

    
posta Shirraz 25.07.2016 - 13:14
fonte

1 risposta

0

Penso che cosa stia cercando di dire il capo

so that nobody would be able to use our code to fake our application through a similar domain as our

è che non vogliono che nessun altro faccia un client diverso per la propria applicazione. Hanno un database di clienti fidati per i loro server web e rispetterebbero le richieste fatte solo da quegli indirizzi.
Questa idea di client con white list è vecchia, ma la loro implementazione è sicuramente imperfetta. Chiunque può spoofare i parametri HTTP_POST che sta cercando e fare tutte le chiamate SOAP che vogliono.
Questa discussione (sebbene non del tutto uguale a ciò che vuole il tuo capo) può aiutarti: Best practice per proteggere le API aperte dal furto di quote

    
risposta data 25.07.2016 - 15:21
fonte

Leggi altre domande sui tag