Domande con tag 'api'

0
risposte

Impedisce allo sviluppatore / proprietario di visualizzare i dati utente con API insicure

Sto costruendo un chatbot per la mia università in GroupMe, che è molto popolare lì. Il bot, ad esempio, consentirà agli utenti di inviare messaggi ai propri gruppi di chat come / menus (presupponendo che "/" sia il carattere che indica un coman...
posta 20.08.2017 - 19:05
1
risposta

API REST e sicurezza

In alcune occasioni, i pen-tester mi hanno chiesto di evitare l'uso di codici di ritorno HTTP dettagliati che potrebbero rivelare informazioni a un utente malintenzionato. Ad esempio, hanno detto che è sbagliato restituire un 404 quando la ri...
posta 07.05.2017 - 21:24
2
risposte

Una password API è sicura in un'applicazione mobile?

Voglio consentire ai clienti di utilizzare la nostra API nelle loro applicazioni mobili, ovvero quelle che sviluppano. Non ho mai sviluppato per dispositivi mobili quindi non so se avere la chiave secretAPI dei client archiviata nell'app è si...
posta 27.10.2017 - 11:57
1
risposta

Patch HTTP su un'API riposante

Ho appena eseguito una scansione di sicurezza contro un'API in fase di sviluppo utilizzando Secure PRO. Ha segnalato una potenziale vulnerabilità su alcuni metodi perché il verbo HTTP Patch è disponibile. Capisco che PATCH sembra aggiornare l...
posta 11.01.2017 - 17:26
2
risposte

DRM: assicurati che un SDK sia utilizzato legalmente dal client

Siamo una startup IT che fornisce ad alcuni clienti un kit di sviluppo software, che può essere utilizzato dal cliente all'interno di un ambiente specifico, secondo alcuni termini e accordi legali. Soprattutto, il client potrebbe chiamare i serv...
posta 06.04.2017 - 22:22
2
risposte

Autorizzazione sicura per giochi o servizi basati su abbonamento

Supponiamo che stia sviluppando un gioco desktop basato su abbonamento: il giocatore paga una quota per poter accedere a determinati livelli del gioco per un certo periodo di tempo. Ad esempio, il giocatore paga $ 1 per accedere a un livello spe...
posta 07.10.2018 - 02:53
3
risposte

Modo sicuro per memorizzare le credenziali per un'applicazione

Voglio utilizzare un'API per uno dei progetti su cui sto lavorando. Qual è la buona pratica / modo per memorizzare le credenziali richieste per l'API? Ad esempio, non voglio in seguito spingere il progetto in git con quei dettagli ancora accessi...
posta 16.03.2016 - 17:57
2
risposte

Come assicurarsi che una richiesta API provenga da un dominio specifico?

Sto aprendo qualche accesso API al mio sito e ai miei utenti è richiesto di specificare da quali dei loro siti web, come esempio.com, faranno le richieste API. Mi chiedo se ci sia un modo per verificare che una richiesta HTTP provenga effetti...
posta 21.06.2015 - 04:17
2
risposte

È sicuro esporre pubblicamente gli hash delle chiavi?

Ho una semplice API che voglio limitare gli utenti usando una chiave. Per ogni richiesta, gli utenti dovranno pubblicare la chiave e gli altri parametri. Ad esempio in R: res <- httr::POST( "api-url", body = list( img = img,...
posta 02.03.2018 - 18:09
1
risposta

Un'alternativa stateless semplicistica all'autenticazione di base HTTP per le API

Molte API (servizi) oggi utilizzano OAuth, l'autenticazione di base HTTP o le chiavi API per autenticare i loro utenti. Il mio obiettivo è trovare un modo semplicistico sicuro per autenticare gli utenti in un'applicazione client-side in...
posta 20.06.2018 - 14:17