sicurezza dell'integrazione di swoopnow sul sito [chiuso]

0

Abbiamo intenzione di utilizzare l'integrazione con apri del sito swoopnow (no-password) per il nostro sito web. (swoopnow fornisce apis che consente all'utente di accedere al sito senza alcuna password) Tuttavia non siamo sicuri del suo livello di sicurezza API. ( link )

  1. Qualcuno potrebbe farci sapere che è davvero sicuro da usare?
  2. Esistono API simili che offrono questo tipo di funzionalità?
posta shafiq 24.11.2018 - 14:20
fonte

1 risposta

1

Come ho detto in un commento, non eseguiamo la revisione delle API di terze parti arbitrarie qui. Ma dato che il sito pretende di fornire un'API per una facile integrazione degli accessi senza password, trovo che vale la pena dare un'occhiata più da vicino.

Il problema è che non ci sono informazioni tecniche reali su questo sito su come funziona. Ho provato una piccola demo e ho scoperto che funziona sia che il client invii loro una mail con un destinatario specifico che ti loggano quando ricevono questa mail - o che il client ha fornito loro un'email e inviano un link e dopo cliccando sul link l'utente ha effettuato il login. Ciò significa probabilmente che tutto ciò che è necessario è che qualcuno abbia accesso al tuo account di posta - e forse anche la possibilità di falsificare l'invio di email dal tuo account (che è facile) è sufficiente. Per maggiori informazioni su questo argomento leggi   accesso senza password tramite e-mail - considerazioni di sicurezza .

Inoltre ora hanno il tuo indirizzo e-mail e non è chiaro che cosa faranno con esso. Almeno non ho trovato alcun tipo di politica sulla privacy sul loro sito che forse significa che si sentono liberi di utilizzare tutti gli indirizzi di posta che hanno ricevuto per pubblicità o addirittura rivendere gli indirizzi di posta elettronica. Questo probabilmente non è il tipo di servizi che vuoi offrire ai tuoi clienti.

Ma ci sono ancora più segnali di allarme. Se osservi la documentazione in evidenza come è semplice un'integrazione, noterai che

  • Si consiglia di includere uno script di un sito di terze parti che non controlli. Questo script ha essenzialmente il pieno controllo del sito nel browser, cioè può estrarre informazioni da esso, modificare informazioni, inviare informazioni con l'origine del tuo sito ecc. Vedi Dovrei essere preoccupato di tracciare domini su un sito web bancario? per ulteriori informazioni.
  • Si consiglia di includere lo script come% non sicuro% co_de e non sicuro http:// . Ciò significa che il trasporto dello script non è protetto contro gli attacchi man in the middle che possono manipolare il contenuto dello script e quindi avere il pieno controllo sul display del tuo sito nel browser. Fortunatamente, se il tuo sito utilizza https:// (consigliato), tali script di terze parti inclusi in modo insicuro non funzionano affatto. Ma questo significa anche che se segui semplicemente la documentazione, l'integrazione del servizio sarà insicura o fallirà completamente. E dà un'idea della mentalità di sicurezza (mancante) degli sviluppatori di questo servizio.
  • Ma gli script di terze parti possono essere effettivamente inclusi in modo sicuro. integrità subresource ti consente di specificare l'hash per lo script previsto. Ed è in realtà supportato dalla maggior parte dei browser principali . Ovviamente, con l'integrità di subresource, la terza parte non può semplicemente apportare modifiche allo script, ma probabilmente è esattamente ciò che stai cercando di evitare.

Altre bandiere rosse sono richieste di sicurezza. Per citare la parte FAQ del loro sito:

Is Swoop secure?
Swoop uses state-of-the-art 2,048-bit encryption to authenticate your user. But what does that even mean? Well, if a hacker got started 13.7 billion years ago (at the start of the Big Bang), then he would still only be .00000213% of the way done. That’s how secure it is.

E questa è solo una cazzata e gioca con grandi numeri. L'unica crittografia a 2048 bit di ultima generazione che potrebbero significare è RSA - gli altri usano molto meno bit (come 256) poiché questi sono sufficienti. E hai solo bisogno di 2048 bit con RSA poiché RSA non è buono come gli altri algoritmi .

A parte questo, non è chiaro cosa viene criptato qui in primo luogo. Non possono essere le mail che vengono inviate per l'autenticazione perché swoopnow non ha il controllo su come la posta viene consegnata. Vedi Come (in) sicuro è POP / IMAP / SMTP e < a href="https://security.stackexchange.com/questions/186070/how-secure-is-e-mail-landscape-right-now"> Quanto è sicuro l'e-mail in questo momento? .

In breve:

  • possono raccogliere e utilizzare impropriamente gli indirizzi di posta dei tuoi clienti
  • la documentazione per l'integrazione fornisce risultati in un'integrazione non sicura o che non funziona
  • fare affermazioni stupide sulla sicurezza invece di fornire informazioni reali sul design
risposta data 24.11.2018 - 15:39
fonte

Leggi altre domande sui tag