Hacer cumplir un protocolo seguro sobre la API pública

Navega tus respuestas
0

He implementado la API HTTP (REST) de mi producto como una API pública. Aunque mi servidor solo permite HTTPS, no tengo ningún control sobre los clientes. Tengo proveedores que implementan clientes en mi API, y me pregunto si existe alguna forma de proteger a sus clientes finales, quienes utilizarán al cliente del proveedor para comunicarse con mi sistema, de modo que el proveedor no podrá usar el cliente final. -Datos del cliente?

    
pregunta Yoav R. 02.08.2018 - 21:56
fuente

1 respuesta

1

Usted tiene el control sobre lo que está sirviendo al cliente. Esto significa que si no confía en su proveedor que proporciona el cliente, entonces se enfrenta al hecho de que el proveedor puede ver los datos que su API está transmitiendo para el cliente. El proveedor puede hacer cualquier cosa con esos datos.
Para mitigar eso, puedes hacer lo siguiente:

  1. Use un contrato legal que cubra esta inquietud, no puede controlar al cliente proveedor
  2. Cifre la carga útil con una clave que el único usuario conoce, pero es probable que no tenga que descifrar / cifrar el tráfico, mala experiencia del usuario.
  3. Tome el control sobre el cliente o al menos audite el código por versión

Como API, solo puede garantizar cómo se entregan los datos y qué datos se entregan, no puede controlar el procesamiento de esos datos en el lado del cliente.

    
respondido por el Harel M 02.08.2018 - 23:01
fuente

Lea otras preguntas en las etiquetas

Compruebe si hay vulnerabilidades en el sitio web que tiene un error con realpath PHP ¿El contenido de las sesiones de PHP tiene valor forense?