Problemi di sicurezza relativi al servizio web

Question

Problemi di sicurezza relativi al servizio web

#1 da (1 voti)
#2 da (0 voti)

2

Attualmente sto lavorando a un progetto per animali con due dei miei amici. Questo servizio web fornirà funzionalità di base come Login / Password Modification / Registration ecc.

Tutti noi ci sentiamo a nostro agio con jQuery e ASP.NET. L'idea del mio amico è -

Set up a web service on the same domain and send it data for registration, validation and password retrieval through jQuery ajax.

Questo stesso processo verrà utilizzato anche per altri CRUD.

Non sono sicuro, però, non è un grosso rischio per la sicurezza? Non è possibile che una persona normale scriva un codice che potrebbe creare migliaia di utenti fittizi nella nostra applicazione?

La creazione di un servizio Web secondario che gestisce l'autorizzazione (OAUTH 2.0 o qualcosa di simile) e chiama il servizio Web che si collega direttamente al database riduce il rischio per la sicurezza?

security ajax web-services

posta Abijeet Patro 20.01.2014 - 06:47

fonte

2 risposte

Leggi altre domande sui tag security ajax web-services

Implementazione del pattern MVC nell'applicazione SWT Diagramma UML per un'implementazione esistente

score 1 · Answer 1

Se stai scrivendo tu stesso un sistema di accesso, è probabilmente meglio attenersi ai metodi tradizionali di registrazione tramite e-mail di conferma o simili. Non è possibile effettuare entrambe le registrazioni che possono essere automatizzate (API Web) e rendere difficile l'automazione (spam bot). Delegare a terzi per l'autenticazione potrebbe essere una buona opzione.

score 0 · Answer 2

Sì, aiuta la sicurezza - forse non di molto, ma ogni piccolo aiuto nel mondo del web. Quello che hai fatto è ridurre la superficie di attacco per qualcuno che ha preso il controllo del tuo server web con un attacco zero-day (o altro). Se si accede al database direttamente nel proprio server Web, l'utente malintenzionato potrebbe semplicemente leggere tutti i dati dell'utente (o, peggio, i dati della sua carta di credito) senza troppi problemi. Almeno ora devono colpire ogni utente individualmente tramite l'API che hai creato per il servizio web.

Quindi puoi portare avanti il concetto e creare più livelli di sicurezza. Limita il limite di creazione dell'utente, aggiungi valori aggiuntivi che devono essere corretti per accedere al servizio.

Perfetto, ma puoi renderlo molto più difficile per un utente malintenzionato, impedendogli di accedere facilmente a tutti i tuoi dati. Personalmente, avrei messo tutti i tuoi altri codici di logica aziendale anche nei servizi web.