seguridad de la integración de swoopnow en el sitio web [cerrado]

0

Estamos planeando utilizar la integración de apis (sin contraseña) del sitio swoopnow para nuestro sitio web. (Swoopnow proporciona apis que permiten al usuario iniciar sesión en el sitio sin ninguna contraseña) Sin embargo, no estamos seguros de su nivel de seguridad api. ( enlace )

  1. ¿Podría alguien hacernos saber que es realmente seguro de usar?
  2. ¿Hay apis similares que proporcionan este tipo de características?
pregunta shafiq 24.11.2018 - 14:20
fuente

1 respuesta

1

Como dije en un comentario, no revisamos API de terceros arbitrarios aquí. Pero dado que el sitio pretende proporcionar una API para una fácil integración de inicios de sesión sin contraseña, creo que vale la pena echar un vistazo más de cerca.

El problema es que no hay información técnica real en este sitio sobre cómo funciona esto. Probé una pequeña demostración y encontré que funciona, ya sea que el cliente les envíe un correo con un destinatario específico y lo registren una vez que reciban este correo, o que el cliente les haya enviado un correo electrónico y le envíen un enlace. al hacer clic en el enlace, el usuario ha iniciado sesión. Esto significa que probablemente todo lo que se necesita es que alguien tenga acceso a su cuenta de correo, y tal vez sea suficiente la posibilidad de enviar mensajes falsos desde su cuenta (lo cual es fácil). Para más información sobre este tema, lea   Inicio de sesión sin contraseña por correo electrónico: consideraciones de seguridad .

Además de eso, ahora tienen su dirección de correo y no está claro qué harán con ella. Al menos no encontré ningún tipo de política de privacidad en su sitio, lo que tal vez signifique que se sientan libres de usar todas las direcciones de correo que han recibido para publicidades o incluso que puedan revender las direcciones de correo. Es probable que este no sea el tipo de servicios que desea ofrecer a sus clientes.

Pero hay aún más señales de advertencia. Si observa la documentación destacada de forma destacada, se dará cuenta de lo sencilla que es una integración

  • Se recomienda incluir una secuencia de comandos de un sitio de terceros que no controla. Este script tiene esencialmente control total sobre el sitio en el navegador, es decir, puede extraer información de él, cambiar información, enviar información con el origen de su sitio, etc. Vea ¿Debo preocuparme por el seguimiento de dominios en un sitio web bancario? para obtener más información.
  • Se recomienda incluir el script como inseguro http:// y no como seguro https:// . Esto significa que el transporte de la secuencia de comandos no está protegido contra el hombre en los ataques intermedios que pueden manipular el contenido de la secuencia de comandos y, por lo tanto, esencialmente tienen control total sobre la visualización del sitio en el navegador. Afortunadamente, si su sitio utiliza https:// (recomendado), los scripts de terceros incluidos de forma insegura no funcionarán en absoluto. Pero esto también significa que si solo sigue la documentación, la integración del servicio será insegura o fallará por completo. Y da una idea de la mentalidad de seguridad (faltante) de los desarrolladores de este servicio.
  • Pero los scripts de terceros se pueden incluir de forma segura. integridad del sub-recurso le permite especificar el hash para el script esperado. Y en realidad es admitido por la mayoría de los principales navegadores . Por supuesto, con la integridad del sub-recurso, el tercero no puede simplemente hacer cambios en el script, pero esto es probablemente lo que está intentando evitar.

Hay otras banderas rojas que hay reclamaciones de seguridad. Para citar de la parte de preguntas frecuentes de su sitio:

  

¿Es seguro Swoop?
  Swoop utiliza encriptación de 2.048 bits de última generación para   autenticar a su usuario. ¿Pero qué significa eso? Bueno, si un   hacker se inició hace 13.7 mil millones de años (al comienzo de la Gran   Bang), entonces él solo sería un .00000213% del camino hecho. Eso es   lo seguro que es.

Y esto es solo una tontería y jugar con números grandes. El único cifrado de 2048 bits de última generación que podrían significar es RSA; los otros utilizan muchos menos bits (como 256), ya que son suficientes. Y solo necesita 2048 bits con RSA ya que RSA no es tan bueno como los otros algoritmos .

Aparte de eso, no está claro qué se encripta aquí en primer lugar. No pueden ser los correos que se envían para la autenticación porque swoopnow no tiene control sobre cómo se entrega el correo. Consulte ¿Qué (in) seguro es POP / IMAP / SMTP y < a href="https://security.stackexchange.com/questions/186070/how-secure-is-e-mail-landscape-right-now"> ¿Qué tan seguro es el panorama del correo electrónico en este momento? .

En resumen:

  • pueden recopilar y utilizar incorrectamente las direcciones de correo de sus clientes
  • la documentación para la integración proporciona resultados en una integración insegura o en una que no funciona
  • haga afirmaciones de seguridad tontas en lugar de proporcionar información de diseño real
respondido por el Steffen Ullrich 24.11.2018 - 15:39
fuente

Lea otras preguntas en las etiquetas