HTTP başlıkları üzerinden erişim belirteçleri iletmek güvenli midir?

11

Bu ilk RESTful web hizmetidir ve güvenlik sorunları hakkında endişeliyim. Erişim kodumu HTTP üstbilgileri aracılığıyla aktarmak güvenli midir? Örneğin:

POST /v1/i/resource HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Api-key: 5cac3297f0d9f46e1gh3k83881ba0980215cd71e
Access_token: 080ab6bd49b138594ac9647dc929122adfb983c8

parameter1=foo&parameter2=bar

Bağlantı bitti SSL. Ayrıca, scopeher biri için özellik olarak tanımlanması gerekenleraccess token

api  rest  http  headers  http-request 
ahmedsaber111
kaynak

Yanıtlar:

12

Erişim belirteci başlığını HTTP üzerinden iletecekseniz, ortadaki adam saldırısına karşı savunmasız olurdu.

Erişim belirteci başlığını HTTPS üzerinden ilettiğinizde, istemciden başka hiç kimse bu belirteci göremez; çünkü istek güvenli bağlantı üzerinden tünellenecektir.

CodeART
kaynak
4
Özensiz bir istemci, SSL ile bile MITM saldırılarına karşı savunmasız olabilir.
ott--
Lütfen bir örnek verebilir misiniz?
CodeART
İstemciyi kontrol etmezseniz istemci tarafı güvenliğini garanti edemezsiniz, ancak bu hemen hemen her şey için geçerlidir.
Matt
2
@CodeWorks Çoğu tarayıcı, SSL sertifikası kaynak için yanlış olsa bile kullanıcıya HTTPS kaynağına bağlanma fırsatı sunar. Bu, tartışmalı olarak, tarayıcı yazarlarının şimdiye kadar yaptıkları en aptal şeylerden biri ve aslında MITM saldırılarını kabul etmeyi teklif ediyor.
Ross Patterson
1
@Dan sonra o belirli MITM sertifikası istemcilerin kök sertifika listesine eklenmelidir. Aksi takdirde, HTTPS uyarısını, her iki A) kullanıcılarınızı sonsuza kadar görmezden gelmek üzere eğittiği gerçek bir "ağlayan kurt" a düşürdünüz, B) gerçek, kötü niyetli bir MITM saldırısından ayrı söylemek zor (A nedeniyle imkansız).
Nick T
8

SSL kullanıldığında aktarılan veriler şifrelendiğinden, erişim belirtecini http başlıkları üzerinden aktarmada ciddi bir sorun yoktur, yalnızca bu isteği yapan ve istek için yanıt veren sunucunun, verileri herhangi bir üçüncü tarafça anlayabilir.

Diğer şey is access tokenileride kullanılmak hiçbir şansınız var onlar belirli bir süre için bir yaşama sahip böylece tabanlı zamanı vardır.

Ashwin
kaynak
-1

Dikkate alınması gereken bir şey de önbellektir.

Arka ucunuz, aynı GET / POST parametreleriyle aynı URL'ye birkaç çağrı görebilir, ancak farklı bir başlık erişim belirteci ve içeriği önbelleğe alınabilir ve herhangi bir gövdeye ayrılabilir.

Thomas Decaux
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.