Acabo de encontrar una API que me parece bastante vulnerable. ¿Podría aclarar si mis preocupaciones están equivocadas?
1) Para recuperar datos de usuario, API KEY, que es único para cada usuario que utilicé. Esta clave api se almacena en la url de descanso. Por ejemplo, para solicitar algo, la solicitud es build /something?api_key=dsfdsf34r3wrwfdew3r3rfw3
. La clave Api es constante para toda la vida del usuario. Se puede recuperar después de iniciar sesión. ¿Es seguro obtener datos de usuario usando esta clave? Me parece que si conozco la clave de alguna otra persona, puedo obtener todo lo que quiero de él. Y si hago una aplicación que funciona con este Api, puedo almacenar estas claves y usarlas en cualquier momento que desee para cualquier propósito que desee. ¿Son legítimas estas preocupaciones? ¿Hay otras formas de explotarlo?
2) El inicio de sesión es solo un texto sin formato con los campos email
y password
. He iniciado sesión con éxito utilizando el cartero y la forma simple. ¿Esta forma de inicio de sesión se considera segura? ¿Cómo se puede mejorar?