要求されたパラメーターが傍受される可能性があるため、API キーは http では価値がありませんか? それらは https 経由でのみ信頼できますか? それでも、クライアントがキーを慎重に扱うことに頼っていませんか?
2 に答える
2
要求されたパラメーターがスニッフィングされる可能性があるため、APIキーはhttpよりも価値がありませんか?
いいえ、スニッフィングは、システム管理者がITセキュリティについて無知な同じLAN上にいる場合、または送信されたトラフィックをキャプチャできる場合(通常はかなり難しい)にのみ実行できるためです。また、ネットワーク層に信頼性とプライバシーを提供するIPSecのようなテクノロジーが存在します。
したがって、プレーンテキスト認証を使用しても、追加のセキュリティはゼロになりません。
それらはhttpsでのみ信頼できますか?
これは、「信頼できる」の定義によって異なります。上記を参照。いずれにせよ、トランスポートセキュリティを使用すると、攻撃者が通信を読み取ることを防ぐことができます。SSLが適用されると、man-in-the-middle攻撃も防止されます。
それでも、クライアントのキーに注意することをクライアントに頼っていませんか?
もちろん、あなたは常にあなたの許可されたユーザーを信頼しなければなりません。これは、APIキーやパスワードなどとは何の関係もありません。
于 2012-08-30T00:31:08.427 に答える
1
API キーの使用方法によって異なります。
API キーを開発者に割り当て、その開発者が API キーをモバイル アプリの一部として配布するか、API キーを使用して Web ページから AJAX 呼び出しを行う場合、API キーは無意味です。誰でもキーを盗聴でき、洗練された中間者攻撃は必要ありません。
しかし、開発者がサーバー側コードの API キーを使用し、API が https で動作する場合、これはかなり安全な手法です。
つまり、セキュリティは、開発者が API キーの秘密を保持することを信頼することにあります。ユーザーがパスワードを秘密にしておくことを期待するのと同じように。
于 2012-08-30T05:38:14.480 に答える