REST kimlik doğrulama düzenlerinin güvenliği

Arka fon:

Bir REST web hizmeti için kimlik doğrulama düzeni tasarlıyorum. Bu "gerçekten" güvenli olmak zorunda değildir (daha kişisel bir projedir) ama bunu bir egzersiz / öğrenme deneyimi kadar olabildiğince güvenli hale getirmek istiyorum. SSL'yi kullanmak istemiyorum çünkü güçlük ve çoğunlukla kurulum masrafını istemiyorum.

Bu SO soruları beni başlatmak için özellikle yararlıydı:

• RESTful Kimlik Doğrulaması
• REST API / web hizmetini güvenceye almak için En İyi Uygulamalar
• En iyi SOAP / REST / RPC web API'lerine örnekler? Ve neden onları seviyorsun? Peki sorun ne?

Amazon S3'ün kimlik doğrulamasının basitleştirilmiş bir sürümünü kullanmayı düşünüyorum ( OAuth'u seviyorum, ancak ihtiyaçlarım için çok karmaşık görünüyor). Tekrar saldırılarını önlemek için, sunucu tarafından sağlanan rasgele oluşturulmuş bir nonce ekliyorum .

Soruya ulaşmak için:

Hem S3 hem de OAuth, birkaç seçilen üstbilgiyle birlikte istek URL'sini imzalamaya dayanır. Her ikisi de POST veya PUT istekleri için istek gövdesini imzalamaz . Bu, URL'yi ve başlıkları tutan ve istek gövdesini saldırganın istediği verilerle değiştiren ortadaki adam saldırısına karşı savunmasız değil mi?

İmzalı dizeye istek gövdesinin bir karma değerini ekleyerek buna karşı koruyabileceğim gibi görünüyor. Bu güvenli mi?

Önceki bir yanıt sadece veri aktarımı bağlamında SSL'den bahsetti ve aslında kimlik doğrulamayı kapsamıyordu.

Gerçekten REST API istemcilerinin güvenli bir şekilde kimlik doğrulamasını soruyorsunuz. TLS istemci kimlik doğrulamasını kullanmadığınız sürece, SSL tek başına bir REST API için geçerli bir kimlik doğrulama mekanizması DEĞİLDİR. İstemci authc olmadan SSL sadece doğrular sunucuyu gerçekten kimliğini doğrulamak istiyorum, çünkü çoğu DİNLENME API'ler için önemsizdir, müşteri .

TLS istemci kimlik doğrulaması kullanmıyorsanız, özet tabanlı kimlik doğrulama düzeni (Amazon Web Service'in özel düzeni gibi) veya OAuth 1.0a veya HTTP Temel kimlik doğrulaması (ancak yalnızca SSL üzerinden) gibi bir şey kullanmanız gerekir.

Bu şemalar, talebin beklenen biri tarafından gönderildiğini doğrular. TLS (SSL) (istemci kimlik doğrulaması olmadan), kablo üzerinden gönderilen verilerin etiketsiz kalmasını sağlar. Bunlar ayrı - fakat tamamlayıcı - endişelerdir.

İlgilenenler için, HTTP Kimlik Doğrulama Düzenleri ve nasıl çalıştıkları hakkında bir SO sorusunu genişlettim .

REST, web standartlarıyla çalışmak anlamına gelir ve web üzerinde "güvenli" aktarım standardı SSL'dir. Başka bir şey korkak olacak ve şifreleme kitaplıkları olması gereken istemciler için ekstra dağıtım çabası gerektirecektir.

SSL'yi taahhüt ettiğinizde, prensipte kimlik doğrulama için gerçekten fantezi bir şey gerekmez. Yine web standartlarına gidebilir ve ayrıntılı bir imzalama protokolünden çok daha basit olduğu ve güvenli bir bağlantı bağlamında etkili olduğu için HTTP Temel kimlik doğrulamasını (her istekle birlikte gönderilen kullanıcı adı ve gizli simge) kullanabilirsiniz. Parolanın asla düz metin üzerinden geçmediğinden emin olmanız yeterlidir; parola düz metin bağlantısı üzerinden alınırsa, parolayı devre dışı bırakabilir ve geliştiriciye posta gönderebilirsiniz. Ayrıca, normal bir şifreyi kaydetmediğiniz gibi, kimlik bilgilerinin alındıktan sonra hiçbir yere kaydedilmediğinden de emin olmalısınız.

HTTP Digest, gizli kodun aktarılmasını engellediği için daha güvenli bir yaklaşımdır; bunun yerine, sunucunun diğer tarafta doğrulayabileceği bir karmadır. Yukarıda belirtilen önlemleri aldıysanız, daha az hassas uygulamalar için aşırıya kaçabilir. Sonuçta, kullanıcının şifresi, oturum açtıklarında (tarayıcıda süslü JavaScript şifrelemesi yapmadığınız sürece) ve aynı şekilde her istekte çerezlerini zaten düz metin olarak aktarılır.

API'larda, geliştiricinin web sitesine giriş yaptığı şifre yerine jetonları (rastgele oluşturulmuş dizeler) geçirmesinin daha iyi olduğunu unutmayın. Dolayısıyla, geliştirici sitenize giriş yapabilmeli ve API doğrulaması için kullanılabilecek yeni jetonlar oluşturabilmelidir.

Bir belirteç kullanmanın ana nedeni, güvenliği ihlal edildiğinde değiştirilebilmesidir, ancak şifre ihlal edilirse, sahibi geliştiricinin hesabına giriş yapabilir ve onunla istediği her şeyi yapabilir. Jetonların bir diğer avantajı, aynı geliştiricilere birden fazla jeton verebilmenizdir. Belki birden fazla uygulamaları olduğu veya farklı erişim düzeylerine sahip jetonlar istedikleri için.

(Bağlantıyı yalnızca SSL yapmanın sonuçlarını içerecek şekilde güncellendi.)

Veya bu soruna bilinen çözümü kullanabilir ve SSL kullanabilirsiniz. Kendinden imzalı sertifikalar ücretsizdir ve kişisel bir proje değil mi?

Gövdenin karma değerini URL'deki parametrelerden biri olarak istiyorsanız ve bu URL özel bir anahtarla imzalanırsa, ortadaki adam saldırısı yalnızca gövdeyi, aynı karma. Şimdi en azından MD5 karma değerleri ile yapmak kolaydır ve SHA-1 bozulduğunda, resmi elde edersiniz.

Vücudun kurcalanmasını önlemek için, ortadaki adam saldırısının kırılma olasılığı daha düşük olacak, çünkü imzayı oluşturan özel anahtarı bilmeyeceklerdir. .

Aslında, orijinal S3 auth yapar zayıf bir MD5 imzası olsa da içeriğin imzalanmasına izin verir. HMAC'ye (imzalanacak dize) bir Content-MD5 üstbilgisi eklemek için isteğe bağlı uygulamalarını zorlayabilirsiniz.

http://s3.amazonaws.com/doc/s3-developer-guide/RESTAuthentication.html

Yeni v4 kimlik doğrulama düzeni daha güvenlidir.

http://docs.aws.amazon.com/general/latest/gr/signature-version-4.html

Önerilerinizin, istemcilerin sunucuyla iletişim kurmasını zorlaştırdığını unutmayın. Yenilikçi çözümünüzü anlamaları ve verileri buna göre şifrelemeleri gerekir, bu model genel API için çok iyi değildir (amazon \ yahoo \ google .. değilseniz).

Her neyse, vücut içeriğini şifrelemeniz gerekiyorsa, mevcut standartları ve çözümleri kontrol etmenizi öneririm:

XML şifrelemesi (W3C standardı)

XML Güvenliği