7

2 つの異なる API (WebEx と Exchange Web サービス) と電子メールの間のブリッジとして機能するアプリを作成しました。ユーザーがカレンダーの招待状を特別な電子メール アドレスに送信すると、アプリは ICS を解析して WebEx ミーティングを作成し、次に Exchange Web サービスに接続して、WebEx 招待状の情報を元の招待状に入れます。

これは、WebEx に Mac メール/カレンダーの統合がないため作成されました。

問題は、WebEx API と Exchange API を使用するには、明らかに両方の API の資格情報が必要なことです。DB に AES 256 ビット暗号化を使用して資格情報を安全に保存しますが、API にアクセスするには、元のプレーンテキストの資格情報が必要です (API で oAuth またはトークンのサポートはありません)。もちろん、それらは SSL 経由で安全に送信されます。

暗号化キーは安全に保管されるため、パスワードが盗まれることによるセキュリティ上のリスクはありません。私が対処しようとしている問題は、企業の資格情報が現在、それらのキーにアクセスできる誰か (私または開発チームの誰か) が情報を復号化して資格情報にアクセスできるような方法で保存されていることを顧客が恐れているという事実です。 .

このアプリの価値は素晴らしいです。時間を大幅に節約できますが、このアプローチを機能させながら、この恐怖から身を守るにはどうすればよいでしょうか?

4

1 に答える 1

0

現実には、コードでパスワードを送信する必要がある場合、開発者がソース コード暗号化されたパスワードを持っていれば、プレーンなテスト パスワードにアクセスできます。これを回避する唯一の方法は、開発チームが暗号化されたパスワードにアクセスすることを拒否し、暗号化されたパスワードを持つ開発チームがソース コードにアクセスすることを拒否することです。これは、開発チームを本番データベースから遠ざけることで実現できます。

セキュリティ リスクは、キーを格納している運用データベースにアクセスできることです。そのアクセスを排除し、彼らの懸念を排除する必要があります。キーの構成に使用できるユーティリティ (デスクトップまたは Web ベース) を提供します。これらのパスワードは将来変更する必要があるため、とにかく良い考えです。

顧客にデータベースを作成してもらい、接続文字列を変更してアプリをデータベースにポイントさせます。お客様はユーティリティを使用してパスワードを設定できます。

于 2013-02-08T18:44:12.347 に答える