¿Impacto de usar las API de mapas sin soporte SSL? [duplicar]

1

Actualmente estamos desarrollando una aplicación web que involucra las API de mapas. La mayoría de los proveedores de API de mapas no ofrecen ningún soporte SSL (por ejemplo, Yahoo! no lo hace). ¿Cuál será el impacto en la seguridad del uso de las API de mapas sin SSL?

Estoy integrando la API de mapas en una de mis páginas web. ¿Es seguro implementar un sitio web sin un certificado SSL? ¿Cuáles serán los efectos / impactos en términos de seguridad?

En la vida real he visto muchos sitios sin SSL / HTTPS (por ejemplo, Stack Exchange), pero como son grandes preocupaciones, pueden tener un equipo separado para proteger su red. Como mi empresa es pequeña, tenemos la necesidad de analizar los impactos del uso de API web sin soporte SSL. Por favor, guíame con los impactos de la misma.

    
pregunta BlueBerry - Vignesh4303 01.08.2013 - 15:45
fuente

1 respuesta

3

En igualdad de condiciones, SSL no afecta directamente la seguridad de su servidor. SSL no es una capa de protección alrededor de su servidor. Es una capa de protección alrededor de la comunicación entre el servidor y el cliente.

Si su aplicación necesita autenticarse con las API del mapa, entonces la falta de SSL expone las credenciales de autenticación a los interceptores entre su aplicación y el proveedor del mapa.

La falta de SSL también significa que no puede estar seguro de que los datos que recibe de los proveedores de API son genuinos. Un atacante activo (hombre en el medio) puede sustituir los datos en tránsito o suplantar al proveedor del mapa por completo.

Si los datos provienen de los proveedores de mapas de su servidor, en la práctica, esto no es una preocupación importante: solo los ISP de red troncal pueden atacar en este escenario. Las entidades que están en posición de interceptar comunicaciones entre datacentes también están en un posición para plantar espías directamente dentro de los centros de datos y proveedores de servicios.

Si los datos van directamente entre los clientes de su aplicación y los proveedores de mapas, esto aumenta significativamente la exposición debido a la falta de SSL. Los usuarios de escritorio suelen estar en una posición en la que su tráfico puede ser interceptado por cualquier persona cercana (wifi), por un empleador, escuela, proveedor de puntos de acceso, etc. Se recomienda encarecidamente ofrecer al menos la posibilidad de usar SSL.

Independientemente de si los proveedores de datos de mapas admiten SSL, usted debería admitir SSL para la comunicación entre sus servidores y sus clientes. Los certificados son baratos y HTTPS es fácil de configurar para la mayoría de las aplicaciones.

    
respondido por el Gilles 01.08.2013 - 19:59
fuente

Lea otras preguntas en las etiquetas