Введение
Здравствуйте,Безопасность API вызовов
Я что типичный программист, который знает, как использовать API, но, как правило, понимают, что я должен знать больше об использовании апи, поднимает плечи и держать используя то, что я знаю.
Я знаю, как устранить апи (хотя я и не люблю это делать), и я знаю, что большую часть времени это действительно хорошая идея, чтобы серьезно проверить данные, отправляемые на мою собственную апи, в случае, если кому-то еще нравится отправлять их собственные ценности, а не предназначенные.
Вопрос
Одна вещь, которую я не могу понять, хотя почему она считается необходимым использованием SSL/HTTPS на API вызовов между 2-сайтами? Например; мой сайт делает завиток к api на другом сайте. Пользовательский интерфейс и браузер между вызовом этих двух сайтов не существует.
Возможно, я пропустил какое-то общее правило в веб-практике, но где средний человек, который может присоединить отправленную информацию в такой ситуации?
Я понимаю, что вредоносное программное обеспечение может собирать ваши персональные данные, когда оно отправляется через ваш браузер.
Вопрос в основном; почему существует необходимость в SSL при вызове вызовов без какого-либо частного пользователя, непосредственно вызванного в вызове?
Дополнительные мысли
Если это тот случай, когда я пропустил некоторые действительно большую информацию о апи, дайте мне знать.
Спасибо за ваше время!
Спасибо за ваш ответ, но мне также нужно знать, как это происходит. Вот как я узнаю и помню; понимая, что происходит, а не просто слышит «как-то люди могут взаимодействовать посередине». Находят ли они какой-то поток в Интернете, который они связывают с моим сайтом и его значениями, или они захватывают мой ip-сервер и проверяют оттуда каким-то образом? –
Они должны быть подключены к одной из сетей между хостом и клиентом. Когда вы подключитесь к этой сети, вы увидите весь проходящий через него трафик. Это процесс, называемый обнюхиванием пакетов. Как работает сниффер пакетов, это немного сложно, но вы можете прочитать о них подробнее: http://en.wikipedia.org/wiki/Packet_analyzer – Jeff
Спасибо за ссылку. У меня все еще есть небольшая проблема, чтобы понять все это, но я думаю, что у меня есть довольно хорошее резюме по крайней мере. Так что есть люди, которые читают сетевой трафик, который может связать определенный вызов, чтобы сказать: url- http://site.com/api/delicious_data post_data- yummy_password = secret & id = 20? И даже Facebook не может контролировать, кто читает их сетевой сервер? –