Estamos planeando utilizar la integración de apis (sin contraseña) del sitio swoopnow para nuestro sitio web. (Swoopnow proporciona apis que permiten al usuario iniciar sesión en el sitio sin ninguna contraseña) Sin embargo, no estamos seguros de su nivel de seguridad api. ( enlace )
Como dije en un comentario, no revisamos API de terceros arbitrarios aquí. Pero dado que el sitio pretende proporcionar una API para una fácil integración de inicios de sesión sin contraseña, creo que vale la pena echar un vistazo más de cerca.
El problema es que no hay información técnica real en este sitio sobre cómo funciona esto. Probé una pequeña demostración y encontré que funciona, ya sea que el cliente les envíe un correo con un destinatario específico y lo registren una vez que reciban este correo, o que el cliente les haya enviado un correo electrónico y le envíen un enlace. al hacer clic en el enlace, el usuario ha iniciado sesión. Esto significa que probablemente todo lo que se necesita es que alguien tenga acceso a su cuenta de correo, y tal vez sea suficiente la posibilidad de enviar mensajes falsos desde su cuenta (lo cual es fácil). Para más información sobre este tema, lea Inicio de sesión sin contraseña por correo electrónico: consideraciones de seguridad .
Además de eso, ahora tienen su dirección de correo y no está claro qué harán con ella. Al menos no encontré ningún tipo de política de privacidad en su sitio, lo que tal vez signifique que se sientan libres de usar todas las direcciones de correo que han recibido para publicidades o incluso que puedan revender las direcciones de correo. Es probable que este no sea el tipo de servicios que desea ofrecer a sus clientes.
Pero hay aún más señales de advertencia. Si observa la documentación destacada de forma destacada, se dará cuenta de lo sencilla que es una integración
http:// y no como seguro https:// . Esto significa que el transporte de la secuencia de comandos no está protegido contra el hombre en los ataques intermedios que pueden manipular el contenido de la secuencia de comandos y, por lo tanto, esencialmente tienen control total sobre la visualización del sitio en el navegador. Afortunadamente, si su sitio utiliza https:// (recomendado), los scripts de terceros incluidos de forma insegura no funcionarán en absoluto. Pero esto también significa que si solo sigue la documentación, la integración del servicio será insegura o fallará por completo. Y da una idea de la mentalidad de seguridad (faltante) de los desarrolladores de este servicio. Hay otras banderas rojas que hay reclamaciones de seguridad. Para citar de la parte de preguntas frecuentes de su sitio:
¿Es seguro Swoop?
Swoop utiliza encriptación de 2.048 bits de última generación para autenticar a su usuario. ¿Pero qué significa eso? Bueno, si un hacker se inició hace 13.7 mil millones de años (al comienzo de la Gran Bang), entonces él solo sería un .00000213% del camino hecho. Eso es lo seguro que es.
Y esto es solo una tontería y jugar con números grandes. El único cifrado de 2048 bits de última generación que podrían significar es RSA; los otros utilizan muchos menos bits (como 256), ya que son suficientes. Y solo necesita 2048 bits con RSA ya que RSA no es tan bueno como los otros algoritmos .
Aparte de eso, no está claro qué se encripta aquí en primer lugar. No pueden ser los correos que se envían para la autenticación porque swoopnow no tiene control sobre cómo se entrega el correo. Consulte ¿Qué (in) seguro es POP / IMAP / SMTP y < a href="https://security.stackexchange.com/questions/186070/how-secure-is-e-mail-landscape-right-now"> ¿Qué tan seguro es el panorama del correo electrónico en este momento? .
En resumen:
Lea otras preguntas en las etiquetas secure-coding