¿Riesgos de crear una API sin autenticación?

1

Estoy planeando construir una API para mi proyecto, y estoy pensando en la autenticación. ¿Cuál es el riesgo de no tener ninguna autenticación?

¿Podría alguien 'rastrear' todas mis publicaciones / obtener rutas? ¿Y cómo sabrían qué datos / argumentos necesitan enviar para hacer un mal uso de cualquiera de las funciones de la API?

Por ejemplo, algunas de mis funciones de API serían: recuperar los detalles de las cuentas de usuario, hacer reservas de servicio, recuperar esos detalles de reservas, etc.

    
pregunta Jk33 16.09.2018 - 02:29
fuente

1 respuesta

3

"Buenas prácticas de seguridad" es seguir Principio de Kerckhoffs :

  

Uno debe diseñar sistemas bajo el supuesto de que el enemigo se familiarice de inmediato con ellos.

No seguir el principio de Kerckhoffs significa que estás haciendo seguridad en la oscuridad . Un google rápido te mostrará lo que la comunidad piensa de eso.

Tu pregunta:

  

¿Y cómo sabrían qué datos / argumentos deben enviar para hacer un mal uso de cualquiera de las funciones de la API?

Tal vez a través de un rastreador de fuerza bruta. Quizás de alguna manera tengan acceso a sus archivos WSDL o Swagger que contienen la descripción completa de la API. Tal vez tengan acceso a su aplicación cliente o SDK y apliquen ingeniería inversa a la API. Tal vez ellos olfatean el tráfico y observan a las personas usando tu API. Tal vez otros métodos.

Es evidente que depende de usted si agregar auth está dentro del alcance de su proyecto, pero tener API que sirvan o acepten datos confidenciales sin autenticación es una práctica muy mala. Aún mejor es tener control de acceso encima de auth para controlar quién puede ver / configurar qué datos.

    
respondido por el Mike Ounsworth 16.09.2018 - 04:15
fuente

Lea otras preguntas en las etiquetas