1. дома
  2. Вопрос и ответ
  3. Безопасность API вызовов

Безопасность API вызовов

2012-03-06 3 views
0

Введение
Здравствуйте,Безопасность API вызовов

Я что типичный программист, который знает, как использовать API, но, как правило, понимают, что я должен знать больше об использовании апи, поднимает плечи и держать используя то, что я знаю.

Я знаю, как устранить апи (хотя я и не люблю это делать), и я знаю, что большую часть времени это действительно хорошая идея, чтобы серьезно проверить данные, отправляемые на мою собственную апи, в случае, если кому-то еще нравится отправлять их собственные ценности, а не предназначенные.

Вопрос
Одна вещь, которую я не могу понять, хотя почему она считается необходимым использованием SSL/HTTPS на API вызовов между 2-сайтами? Например; мой сайт делает завиток к api на другом сайте. Пользовательский интерфейс и браузер между вызовом этих двух сайтов не существует.

Возможно, я пропустил какое-то общее правило в веб-практике, но где средний человек, который может присоединить отправленную информацию в такой ситуации?

Я понимаю, что вредоносное программное обеспечение может собирать ваши персональные данные, когда оно отправляется через ваш браузер.

Вопрос в основном; почему существует необходимость в SSL при вызове вызовов без какого-либо частного пользователя, непосредственно вызванного в вызове?

Дополнительные мысли
Если это тот случай, когда я пропустил некоторые действительно большую информацию о апи, дайте мне знать.

Спасибо за ваше время!

источник

2012-03-06 Robin Castlin

ответ

1

Браузеру/пользователю не нужно принимать непосредственное участие, чтобы обнюхать сетевые пакеты. Использование cURL на вашем веб-сервере такое же, как использование браузера с вашего домашнего компьютера, за исключением того факта, что запрос поступает с другого компьютера/сети, и нет графического интерфейса. Кто-то все еще может слушать где-то между компьютером, выполняющим cURL (клиент) и сервером, на котором находится API (сервер).

Лучше всего требовать SSL для вызовов API, потому что API обычно требуется ключ, предоставляющий доступ к API. Если этот запрос отправляется в виде обычного текста, любой, кто нюхает пакеты между сервером и клиентом, может увидеть этот ключ API и начать его использовать. С другой стороны, если запрос API установлен через SSL, он будет зашифрован и гораздо сложнее понять.

источник

2012-03-06 09:41:44 Jeff

+0

Спасибо за ваш ответ, но мне также нужно знать, как это происходит. Вот как я узнаю и помню; понимая, что происходит, а не просто слышит «как-то люди могут взаимодействовать посередине». Находят ли они какой-то поток в Интернете, который они связывают с моим сайтом и его значениями, или они захватывают мой ip-сервер и проверяют оттуда каким-то образом? –

+0

Они должны быть подключены к одной из сетей между хостом и клиентом. Когда вы подключитесь к этой сети, вы увидите весь проходящий через него трафик. Это процесс, называемый обнюхиванием пакетов. Как работает сниффер пакетов, это немного сложно, но вы можете прочитать о них подробнее: http://en.wikipedia.org/wiki/Packet_analyzer – Jeff

+0

Спасибо за ссылку. У меня все еще есть небольшая проблема, чтобы понять все это, но я думаю, что у меня есть довольно хорошее резюме по крайней мере. Так что есть люди, которые читают сетевой трафик, который может связать определенный вызов, чтобы сказать: url- http://site.com/api/delicious_data post_data- yummy_password = secret & id = 20? И даже Facebook не может контролировать, кто читает их сетевой сервер? –

Смежные вопросы

 Смежные вопросы