Divulgazione - Non sono un professionista della sicurezza - ma ho un problema di sicurezza (credo) che ho bisogno di articolare con un cliente.
Abbiamo un'organizzazione partner che ha creato un'API per un'app mobile che stiamo costruendo. Anziché utilizzare oAuth per l'accesso a Facebook, è necessario caricare l'ID facebook di un utente sull'endpoint API, tramite HTTPS, con una chiave API statica nell'intestazione.
Considerano questo sufficientemente sicuro da garantire l'accesso all'account dell'utente. Ma puzza di pesce per me.
cioè.
POST a link con intestazione X-Auth-APIKEY = TOPSECRET
Ovviamente, vedo un problema in cui se la chiave è compromessa, è fottuta (perché è codificata nella nostra app) - ma c'è qualcos'altro che mi manca?
I complimenti per la traduzione di qualsiasi potenziale minaccia in linguaggio che un marketing manager potrebbe capire:)