Implementando un inicio de sesión seguro para una API

Navega tus respuestas
1

Estoy implementando una api web con la que planeo autorizar el acceso aceptando un nombre de usuario y contraseña y el nombre del sistema y devolviendo un id de sesión que puede usarse en llamadas posteriores para autorizar a la persona que llama.

La api solo está disponible a través de SSL 3.0 o TLS 1.0.

¿Cuáles son los principales ataques que serían posibles en este escenario?

La respuesta y los comentarios a esta pregunta de SO parecen indicar que si el riesgo de ataque es proporcionalmente bajo, más complejidad no mejorará la seguridad sino que agregará complejidad. Me gustaría conocer las áreas de mayor riesgo de ataque para determinar las contramedidas adecuadas, si es necesario.

    
pregunta Thronk 13.03.2013 - 22:18
fuente

1 respuesta

3

Esta es una pregunta muy amplia que no puede responderse con nada que sea casi suficiente en Stack Overflow. Realmente necesitas leer un libro para entender todo esto. Recomiendo encarecidamente el manual para piratas informáticos de aplicaciones web . Es una lectura interesante e informativa.

Hablando en términos generales, debe preocuparse por las personas que roban o adivinan el ID de sesión. Hay muchas maneras diferentes de hacer eso. Asegúrese de estar protegido contra XSS, CSRF y que está generando ID de sesión con suficiente entropía y aleatoriedad. No caigas en la trampa de usar el valor de tiempo actual tampoco. Esos son sorprendentemente bastante predecibles.

    
respondido por el Freedom_Ben 13.03.2013 - 22:37
fuente

Lea otras preguntas en las etiquetas

PKCS # 7 mensaje construido por nuestro código, ¿alguna debilidad en la salida? ¿Cómo asegurar mi instalación de DropBox?