Domande con tag 'api'

2
risposte

Che cosa protegge effettivamente PKCE?

Sto cercando di capire come PKCE funziona in un'app mobile e c'è qualcosa che non abbastanza comprensibile. Quindi, da ciò che posso raccogliere l'app client crea una stringa crittograficamente protetta casualmente nota come verificatore de...
posta 14.12.2017 - 12:56
2
risposte

Differenze nel meccanismo di sicurezza tra Google e le API di Amazon

Qualcuno sa perché le API di Google e Amazon (AWS) hanno modi così diversi di gestire la sicurezza? Ad esempio, Google ha una semplice chiave API che puoi revocare in qualsiasi momento, mentre Amazon ha questo meccanismo chiave pubblico / segret...
posta 01.08.2016 - 22:54
1
risposta

Perché dovrei nascondere le chiavi API?

Ho bisogno di integrare la mia app Android con Dropbox, in pratica tutto quello che voglio è che l'utente scelga un file dalla sua casella personale e lo dia alla mia app. Per farlo, sto utilizzando dropboxChooserSDK e richiede una chiave API pe...
posta 31.01.2017 - 17:45
1
risposta

Memorizza token di autenticazione in cookie o intestazione?

Capisco che un'intestazione sia la soluzione "più pulita" per trasportare un token di autenticazione da un sistema fidato a un altro in una chiamata REST. Ma quando ti trovi nel codice JavaScript lato client, il mondo mi sembra diverso. I coo...
posta 23.02.2018 - 07:43
2
risposte

Prevenire la reinvio e la replica dell'attacco utilizzando il client nonce nell'API REST

Ho un backend API REST che ha HTTPS (e HTTP bloccato) e utilizzo JWT come meccanismo di autenticazione. Il lato client è l'app iOS / Android. Voglio aggiungere un livello di protezione sull'API critica utilizzando il client nonce per impedire (p...
posta 03.08.2016 - 05:02
2
risposte

Come possiamo proteggere le API di registrazione dalla registrazione della forza bruta?

Questa è una domanda generale, ma è suggerita da un'API abbastanza aperta che ho per un servizio di archiviazione di file che deve avere la porta principale bloccata in modo migliore. Abbiamo un'API come POST '/signup' che richiede solo...
posta 30.03.2016 - 23:21
1
risposta

API che non consente di invalidare la sessione sul lato server - come renderla più sicura?

Sto scrivendo un'app intorno a un'API REST che non consente al server di invalidare una sessione, ovvero non esiste un endpoint come logout che renderà invalido il cookie che la mia app utilizza da ora in poi. Quindi vedo che se un hack...
posta 17.07.2015 - 15:56
1
risposta

Convalida del tipo di contenuto nelle API REST

Sto provando a capirlo, perché è consigliabile convalidare il content-type , inviato da un client a un'API REST. Gli stati di OWASP nella scheda Trucchi sulla sicurezza REST : When POSTing or PUTting new data, the client will specif...
posta 22.03.2017 - 14:19
1
risposta

Invio di token di accesso non in scadenza su ogni richiesta vs utilizzando token di aggiornamento?

Quando si proteggono le API REST per le applicazioni mobili, ciò che si vede spesso è l'uso di token di aggiornamento. Esistono perché: I token di accesso hanno una data di scadenza. Non vogliamo che l'utente debba inserire le sue credenzi...
posta 02.05.2016 - 14:58
2
risposte

Cosa succede quando la tua chiave API segreta viene rubata e utilizzata da altri?

L'uso dell'API a pagamento aumenta di anno in anno. Ad esempio, IBM, Google e Microsoft forniscono API a pagamento come Sintesi vocale , Discorso al testo e Immagine al testo e viceversa. Ho una domanda su cosa succede se costruisco un'a...
posta 06.03.2017 - 21:09