私はオープンソースのデスクトップTwitterクライアントを開発しています。新しいxAuth認証方法を利用したいのですが、私のアプリはオープンソースです。つまり、キーをソースファイルに直接配置すると、脆弱性になる可能性があります(正しいですか?Twitterサポート担当者が教えてくれました) 。
一方、キーを直接バイナリに入れることも意味がありません。私はPythonでアプリケーションを作成しているので、pycファイルを提供するだけで、Pythonの優れた反射機能のおかげで、キーを取得するのにもう1秒かかります。キーを使用して小さな.soファイルを作成する場合、生のバイナリを確認してキーを取得することも簡単です(キーの長さと文字セットは固定されています)。
あなたの意見は何ですか?APIキーを公開するのは本当に安全な穴ですか?
セキュリティホール?大まかに言えば、そうです。しかし現実的には、これらは私たちが話している核発射コードではありません。
起こりうる最悪の事態は、誰かがアプリのキーを取得して使用し、TwitterのTOSに対して何かを実行して、キーが禁止される可能性があることです。ユーザートークンを配布していないため、ユーザーデータが脆弱になることはありません(セキュリティの観点からははるかに悪いでしょう)。誰でも2秒で無料でアプリを登録できるので、そのようななりすましを行う唯一の理由は、特にあなたやあなたのアプリの評判を傷つけることです。
あなたができることの1つは、それらをソースコードから除外することですが、ソースからのユーザーのコンパイルでは、独自のキーを取得して適切な場所に配置する必要があることを明確にしますが、配布するバイナリバージョンのままにします。100%安全というわけではありませんが、それを少し難しくして、特定の数のn'er-do-wellを阻止します。