Przechowywanie klucza API w aplikacji mobilnej to nie jest najlepszy pomysł...

15 marca 2019, 12:07 | W biegu | komentarze 4
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Przekonali się o tym deweloperzy jednej z kontrowersyjnych appek o dość nietypowym zadaniu - wskazywanie amerykańskich restauracji, gdzie bezpiecznie jest nosić czapkę z logo 'Make America Great Again'. Ale zostawmy politykę na boku.

Appka napisana w React Native, zaszyty w niej klucz do API oraz adresy URI backendu:

API key

Oczywiście można było tutaj bez żadnego uwierzytelnienia wołać te metody. Dobrze czytacie, z informacji opublikowanych przez tajemniczego hackera Ellita Aldersona ;) wynika, że przynajmniej część metod nie potrzebowała nawet klucza API.

Swoją drogą same statyczne klucze API to często w ogóle nie jest dobry pomysł. Polecamy tutaj rozważyć choćby OAuth2 czy JWT.

--ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Daniel

    Nie no straszne, można poznać maile czterech tysięcy osób.
    Nie rozumiem o czym tu pisać, praktyka z kluczem też wcale nie jest jakaś szokująca.

    Odpowiedz
    • "praktyka z kluczem [api zahardkodowanym w appce] też wcale nie jest jakaś szokująca."

      O cholera :) Znaczy, że bezpiecznicy będą mieli pracę do końca świata i jeden dzień dłużej ;-)

      Odpowiedz
      • Marcin

        A nie będą? ;)

        Odpowiedz
  2. I dlatego porzucilem pełnoetatową pracę programisty na rzecz bezpiecznika 😁

    Odpowiedz

Odpowiedz