2

ログインのみに SSL を使用している場合、API を実際に保護することはできないと読みましたが、HMACのようなもので有効にできるようです。

  • クライアントは SSL 経由で接続し、資格情報を送信し、セッション ID Cookie とセッション シークレットを受信します。
  • API 呼び出しはプレーンな古い HTTP などを介して行われますが、タイムスタンプ + ナンス、およびクライアントがシークレットを所有していることを確認し、リプレイを防ぐためにサーバーによって再生成できる (ペイロード + タイムスタンプ + ナンス + シークレット) のハッシュが含まれます。

これを安全にしない原因は何ですか?

4

1 に答える 1

0

パスワード入力のみに HTTPS を使用し、その後 HTTP にフォールバックするサイトは、セッション Cookie 盗聴 (別名 Firesheep) や MITM 攻撃など、多数の攻撃に対して脆弱です。そのため、これらのサイトは安全ではなく、セキュリティ担当者はサイト全体の SSL の使用を推奨しています。パスワード入力のみに HTTPS を使用しているサイトは「やり方が間違っている」

于 2013-02-14T05:37:54.573 に答える