הוסטס - פורום אחסון האתרים הגדול בישראל - View Single Post

אדיר · 15-05-13, 22:10

המידע מאובטח עד שמישהו מוכיח אחרת

.

אני מניח שהבעיה יכולה להתקיים ב- 2 הצדדים:
אתה אף פעם לא יכול לדעת מי חוץ ממך עוד רואה את הקבצים או השיג גישה למסד הנתונים - ההצפנה הזו מכסה (לא בדיוק, אבל נגיד) מקרים של חדירה למסד הנתונים, קבצי האתר ומערכת הקבצים בשרת.
וכן אי אפשר גם להבטיח שאף אחד לא מאזין למידע שנכנס ויוצא מהשרת - ככה שבמקרים מסויימים שבהם זה כדאי (כמו כאן) רצוי לשלב SSL אם יש תמיכה בכך מצד ספק השירות.

אבל בעניין ה- API עצמו זה כבר ליקוי בשירות שהוא עובד מולו (בהנחה וככה באמת עושים את זה).
השירות צריך לספק איזשהו secret key לכל משתמש שבאמצעותו הוא מזהה אותו, הלקוח לא אמור להתממשק לשירות עם שם המשתמש והסיסמא שלו.

15-05-13, 22:10	# 12
אדיר עסק רשום [?] מיני פרופיל תאריך הצטרפות: Mar 2008 מיקום: אשקלון הודעות: 1,714	המידע מאובטח עד שמישהו מוכיח אחרת . אני מניח שהבעיה יכולה להתקיים ב- 2 הצדדים: אתה אף פעם לא יכול לדעת מי חוץ ממך עוד רואה את הקבצים או השיג גישה למסד הנתונים - ההצפנה הזו מכסה (לא בדיוק, אבל נגיד) מקרים של חדירה למסד הנתונים, קבצי האתר ומערכת הקבצים בשרת. וכן אי אפשר גם להבטיח שאף אחד לא מאזין למידע שנכנס ויוצא מהשרת - ככה שבמקרים מסויימים שבהם זה כדאי (כמו כאן) רצוי לשלב SSL אם יש תמיכה בכך מצד ספק השירות. אבל בעניין ה- API עצמו זה כבר ליקוי בשירות שהוא עובד מולו (בהנחה וככה באמת עושים את זה). השירות צריך לספק איזשהו secret key לכל משתמש שבאמצעותו הוא מזהה אותו, הלקוח לא אמור להתממשק לשירות עם שם המשתמש והסיסמא שלו. __________________ LinkedIn \| אני, אדיר \| העלאת תמונות Last edited by אדיר; 15-05-13 at 22:20..