¿Es una mala idea proporcionar un ID de OAuth "de prueba" y un secreto?

3

Estoy trabajando en una aplicación web, y es posible que finalmente quiera incluir a otros en el proyecto. Tengo dos conjuntos de credenciales de GitHub: una llamada Foo que devuelve llamadas a foo.com/endpoint , y otra llamada Foo - TEST CREDENTIALS que devuelve llamadas a foo.local/endpoint . La idea es que puedo compartir las credenciales de prueba con otros desarrolladores, y pueden modificar su /etc/hosts para las pruebas locales.

En general, soy una persona de confianza, pero ¿hay alguna forma en que un usuario malintencionado pueda usar estas credenciales de prueba para el mal? En mi entendimiento, tendrían que:

  1. Asegúrese de que el DNS para la conexión de la víctima con foo.local apunta a su servidor.
  2. Asegúrese de que la víctima acceda a foo.local en lugar de a foo.com .
  3. Espero que la víctima otorgue acceso a ciegas y no note los - CREDENCIALES DE LA PRUEBA en el nombre de la aplicación en la pantalla de autorización de GitHub.

Esto me parece bastante inverosímil, así que voy a afirmar que es seguro entregar estas credenciales de prueba a los compañeros de trabajo. ¿Puede alguien demostrar que estoy equivocado al proporcionar un método de ataque más viable?

    
pregunta Ryan Kennedy 20.10.2015 - 18:01
fuente

1 respuesta

1

Es un uso perfectamente razonable. En realidad, tenemos localhost como punto final para nuestras claves de API de prueba, y nuestro proveedor de OAuth permite http simple para las devoluciones de llamadas de localhost, por lo que las pruebas son muy sencillas.

Puede revocar fácilmente las credenciales si están comprometidas y realmente no necesita el nombre de su compañía en el nombre para mostrar tampoco.

    
respondido por el GnP 09.09.2016 - 00:55
fuente

Lea otras preguntas en las etiquetas