Asegurando la API REST para uso móvil con OAuth

Navega tus respuestas
1

Soy un completo noob de la seguridad, así que perdóname si digo algo incorrecto.

Tengo que desarrollar una red social. El cliente será una aplicación de Android y (probablemente) una página web para teléfonos inteligentes que utilizará una API REST. Debido a las características de la red social, si la información de un usuario es robada, no es muy importante, pero tengo que identificar a cada usuario por nombre de usuario / contraseña de inicio de sesión y debo estar seguro de que todos los mensajes provienen del usuario legítimo. .

No quiero usar SSL (TLS) porque no tengo muchos recursos, por lo que no quiero sufrir la latencia de SSL y no quiero pagar por el certificado. Entonces, ¿sería una buena idea usar OAuth para asegurar la API REST? ¿Hay mejores enfoques?

    
pregunta Alex Text 30.10.2013 - 12:25
fuente

1 respuesta

1

HTTPS es un requisito absoluto para la comunicación autenticada. HTTPS normalmente aumenta las demandas de CPU en menos del 2% , y además del protocolo de enlace inicial HTTPS no aumentará la letalidad de la red. Sin HTTPS, está violando OWASP - Insufficient Transport Layer Security . La seguridad no es solo HTTPS, si está "asegurando una API REST", tiene que preocuparse por otros problemas y el top 10 de OWASP es un buen lugar para comenzar.

(En una nota lateral, después de tantos años todavía me sorprende que la gente piense que HTTPS es opcional, y que de alguna manera el cifrado es esta gran carga. Puedo realizar algunos millones de operaciones AES por segundo, y la mayoría de las veces No puedo cargar una página web en menos de un segundo. ¿Por qué la gente piensa que el cifrado es pesado? Me gustaría una explicación.)

    
respondido por el rook 01.11.2013 - 20:11
fuente

Lea otras preguntas en las etiquetas

Apretón de manos y autenticación de 4 vías WPA ¿Delegación bidireccional?