def-hub-community 28 мар в 11:30

API Security Best Practices

Средний

9 мин

2.2K

Проектирование API*Информационная безопасность*

Перевод

Комментарии 7

def-hub-community 28 мар в 11:31

Залетайте к нам в тг @defhubcommunity там есть еще полезного про кибербезопасность.

Shaman_RSHU 28 мар в 12:54

Спасибо за структуризацию данный. Не WAFом единым.. :)

noavarice 28 мар в 13:46

Читаешь, вроде ничего, а потом:

Не используйте Basic Auth.
Отсутствие шифрования: Basic Authentication отправляет имя пользователя и пароль в виде открытого текста, что делает их уязвимыми для перехвата.

При чём тут шифрование?(

Сложность управления: Требует хранения паролей в виде открытого текста или обратимого шифрования.

Пароли в открытом виде хранить не требуется
Кто знает, что там оригинальный автор ещё посоветует...

def-hub-community 28 мар в 13:58

не очень понятно в чем именно автор не прав? шифрование кредов в Basic Auth не используется, креды передаются закодированные в base64.

NAI 28 мар в 16:23

Шифрование же лежит на ssl/tls'е, не?

savostin 29 мар в 22:17

А вот в чем преимущество uuid перед автоинкрементом, кроме того, что можно перебрать (не вижу в чем тут проблема, ну пусть). Как по мне uuid оправдан только в одном случае - если этот id создается в распределенной системе, где автоинкремент обеспечить сложно.

noavarice 30 мар в 17:22

С автоинкрементыми ID можно какую-то информацию собрать (например, количество сущностей определенного типа) и попытаться найти ошибки доступа, перебирая такие ID

Зарегистрируйтесь на Хабре, чтобы оставить комментарий