2

私が取り組んでいるプロジェクトのコード スニペットの保存を可能にする PASTEBIN タイプの API を研究してきました。問題は、私が見つけたほとんどの API が既存の貼り付けの編集/更新をサポートしていないことです。

Snipt.org API がスニペットの更新をサポートしていることがわかりました。ただし、snipt.org API の認証は、Twitter アカウントを使用して行われます。snipt.org API ドキュメント ( https://code.google.com/p/snipt-org/wiki/REST_API_Docs?tm=6#Authorization ) は、GET '/auth' 呼び出しの使用を提案しています (Twitter の uname/password をURL) を使用して、API にアクセスするための API トークンを取得します。それは私だけですか、それとも Twitter の資格情報を侵害する良い方法のように思えますか?

Twitter 経由で認証する他のサイトを使用したことがありますが、最初に Twitter サイトで認証され、承認されたアプリにトークンが送信されます。

4

1 に答える 1

3

明らかに、この API にはいくつかの重大な欠陥があります。

ただし、https を使用すると、GET 要求の URL は途中で暗号化されます。(ただし、ブラウザのキャッシュには引き続き記録されます。クリアしてください。)

したがって、snipt が本当に好きな場合は、単に snipt を認証する目的で作成された新しい Twitter アカウントを使用できます。

特にいい気分にはなりません。そして、API のこの部分に基づいたセキュリティ コードの残りの部分について、深刻な疑問を抱いています。しかし、あなたのスニペットにすでにアクセスしているスニペットのメンテナー以外の者が、この部分を使用してあなたの資格情報を正確に盗むことができるかどうかはわかりません. したがって、資格情報を含むスニップのみを保護し、ツイートを保護しない場合は、問題ありません。

于 2013-03-28T23:47:25.193 に答える