¿Cuáles son las implicaciones de divulgar un secreto del consumidor para compartir entre desarrolladores que realizan el desarrollo de sitios web locales?

Question

¿Cuáles son las implicaciones de divulgar un secreto del consumidor para compartir entre desarrolladores que realizan el desarrollo de sitios web locales?

#1 de AckSynFool (1 votos)

8

En relación con este problema de GitHub en el proyecto Gittip (que resultó ser un falsa alarma), cuáles son las implicaciones de seguridad, si las hay, de la codificación en el git repo La clave de consumidor OAuth de una aplicación de prueba y el secreto para cada proveedor que usamos.

La intención es hacer lo más simple posible para que un nuevo desarrollador inicie un entorno de desarrollo de trabajo, y pedirles que creen un montón de aplicaciones de OAuth parecen indeseables.

Para lo que vale, los detalles son los siguientes:

asumir solo el desarrollo del sitio local (no almacenes de datos remotos)
los proveedores incluyen Twitter, GitHub, OpenStreetMaps, Bitbucket, Venmo, entre otros
los secretos publicados son solo para probar aplicaciones

web-application oauth

pregunta patcon 08.04.2014 - 02:59

fuente

1 respuesta

Lea otras preguntas en las etiquetas web-application oauth

¿Forzar la firma de un certificado de CA subordinado para incluir una extensión de punto de distribución de CRL? ¿Se ha roto Scrypt, finalmente?

score 1 · Answer 1

¿Podrías hacer que el archivo de configuración solo sea local y no registrarlo?

¿O simplemente comparte el archivo de configuración / las claves API para una audiencia limitada?

Compartir una clave también lo convierte en un punto único de falla. Si se trata de una cuenta de prueba limitada que puede eliminar si es necesario, tiene mucho mejor control. También debe conocer los términos de esas cuentas (Twitter, Github, OpenStreetMaps, etc.) para asegurarse de que no está violando sus términos de servicio al alojar los identificadores de API como contenido descargable de forma gratuita.

Acepte que no es lo mejor desde la perspectiva de la usabilidad del desarrollador, pero sus desarrolladores deben usar sus propias claves API para lograr el aislamiento de la cuenta y protegerlo a usted y a los demás. Esto afecta el tiempo de inicio, ¿tal vez hay un proyecto para simplificar esto para los desarrolladores? Vamos interwebs, hazlo.