Basic HTTP認証を使用するREST APIを作成しました。 IsはSSLのみに制限されています。 SSLの基本的なHTTPが安全でないという批判を受けています。私が "プレスを止める"というプロジェクトにとっては有害で、OAuthなどを使用するクライアントのスキルの範囲外になるでしょう。私はこの方法のリスクと報酬を理解する必要があります。 Basic HTTP authを使用するビッグネームの例は、サポートとしても役立ちます。基本的なHTTP認証の賛否両論
6
A
答えて
7
SSLによる基本的なHTTP認証は、基本的に安全です。セキュリティの問題は、基本認証( SSLなし)が主に発生します。この場合、ユーザー名とパスワードはMITMに公開されます。ブラウザでは、資格情報の期限切れにも問題がありますが、これはRESTサービスの問題ではありません。
2
私は誤解しているかもしれませんが、SSLのみで問題は発生しません。ステートレスなAPIではありません。
発信者がSSLスニッフィングプロキシを使用するように強制された場合、BASICは、パスワードがプロキシに平文で利用可能であることを意味します。この特定のケースでは、プロキシは、パスワード(ダイジェストはチャレンジレスポンスを意味します)。
関連する問題
- 1. アクティブレコード対リポジトリ - 賛否両論?
- 2. 残りとWCFの賛否両論
- 3. RubyとScala - 各自の賛否両論
- 4. エンドユーザへのSQL:賛否両論
- 5. iPhoneでの基本的なHTTP認証
- 6. proguard vs redex by facebook - 賛否両論
- 7. Drools対JBPM?違い、賛否両論
- 8. EventSourceと基本的なhttp認証
- 9. API用laravel5.1基本的なhttp認証
- 10. Railsの静的ページルートvs:constraints => {:url => /.+/} - 賛否両論
- 11. C#の静的クラス、賛否両論は何ですか?
- 12. 動的言語による暗黙的な変換の賛否両論?
- 13. GowallaのHTTP基本認証?
- 14. ルーメンHTTP基本認証
- 15. HTTP基本認証メカニズム
- 16. 基本HTTP認証ゴー
- 17. CORSとHTTP基本認証
- 18. フラグ列挙型の賛否両論は何ですか?
- 19. git-svnの賛否両論は何ですか?
- 20. DSLとメソッドの呼び出し:賛否両論
- 21. htmlタグ、賛否両論の入力を避ける
- 22. NFAの賛否両論はDFAと比較してですか?
- 23. Android Volley ImageLoader - 基本的なHTTP認証の使い方
- 24. MS-Accessフロントエンドwith sybase Sql Anywhereデータベース、賛否両論
- 25. Adobe Flex 4.5 "Hero" for mobile - 賛否両論
- 26. ASP.NET MVC5基本的なHTTP認証とAntiForgeryToken例外
- 27. Rails HTTPの基本認証の失敗
- 28. XCODE iPhoneの基本認証のHTTPヘッダー
- 29. Diigo API - HTTPの基本的な認証エラーHTTPのためのPHPでのCURL
- 30. Regex for HTTP URLの基本認証
スニッフィングプロキシは、実際のサーバーの証明書を盗むことができないか、クライアントにSSLの全体的なポイントである偽の証明書を信頼させることができない限りSSL上で動作しません。 –
社内に大企業があり、従業員のコンピュータに追加のルート証明書をインストールすることで、プロキシ上でSSLを盗聴できるようになります。既製の製品も現場で販売されています(prerequesiteは常に追加のルート証明書コントロールしている) – Yahia
良い点。私は自分のコンピュータがスニッチになる可能性は考慮しなかった。 –