¿Una simple API REST móvil necesita HTTPS?

Question

¿Una simple API REST móvil necesita HTTPS?

#1 de Scott Chamberlain (5 votos)
#2 de JimiDini (0 votos)

1

Digamos que tengo una aplicación móvil muy simple con una API de servidor. Por ejemplo, algún tipo de aplicación Q & A, donde los usuarios responden preguntas para ganar algunos puntos (tipo de juego "Quién quiere ser millonario").

Los usuarios pueden descargar nuevas preguntas desde la API de un servidor. A continuación, los usuarios pueden cargar las nuevas preguntas que formaron para contribuir a una base de datos común de preguntas.

Casi siempre me enseñaron a usar un HTTPS en servidores de producción. Sin embargo, ¿realmente necesito usar HTTPS con algún tipo de token de seguridad en este caso? ¿Hay una manera de inyectar algunas preguntas maliciosas si se utiliza HTTP simple? ¿O otras amenazas?

tls mobile rest

pregunta tsusanka 05.12.2013 - 23:50

fuente

2 respuestas

0

¿Utiliza alguna autenticación para su API? Si lo hace, entonces debería considerar la pérdida de credenciales de los usuarios.

OAuth 1.0a le permite estar seguro de esto, ya que la clave privada nunca se transmite, sino que se usa para crear una firma criptográfica. Con OAuth2 o esquemas de autenticación "clásicos", las credenciales de sus usuarios se transmiten en texto sin cifrar y usted tiene que protegerlas con HTTPS.

respondido por el JimiDini 06.12.2013 - 13:12

fuente

Lea otras preguntas en las etiquetas tls mobile rest

¿Fuerza bruta en orden o al azar? Cifrado de datos PCI y alcance de PCI-DSS

score 5 · Accepted Answer

¿Le importa si un tercero supervisa o modifica una solicitud en tránsito del cliente a usted o de usted al cliente?

Si no te importa, solo usa HTTP. Si te importa, usa HTTPS.

¿Hay una manera de inyectar algunas preguntas maliciosas si se utiliza HTTP simple? Absolutamente, la pregunta real es ¿justifica el costo adicional de desarrollar un sistema HTTPS para evitar que eso suceda? (la mayoría de las veces, el costo adicional de implementar HTTPS sobre HTTP es tan mínimo que la respuesta a la pregunta generalmente es "sí, el costo está justificado")