Jag har fått ett tips som jag tycker låter väldigt smart, att man borde hasha alla paramterar man skickar till API:et med en api nyckel.

På detta sätt blir det alltid olika hashar på samtliga api anrop, för i detta fall är det ett sms api som skickar sms ;-)

Märkligt, för du skrev detta förut :)

Det jag försöker få fram: ditt förslag ger bara falsk säkerhet. Det är ett hål, även om det, under normala förutsättningar, inte går att utnyttja mer än kort tid efter attacktillfället. Men under den korta tiden så kan man å andra sidan utnyttja det fullt ut..

RickardP: Mjo, jag skrev någonting sådant förut i tråden. Finns dock ett problem som inte blir löst på det sättet: Man kan skicka det sms:et om och om igen och belasta nyttjaren av api:t tungt ekonomiskt sätt, samt spamma ganska rejält. För att lösa det problemet så får man titta på annat håll, t.ex. även skicka med ett unikt löpnummer som aldrig får förekomma dubbelt, eller börja snegla på ssl.

Nej, det är ingen falsk säkerhet, det är en klar förbättring av säkerheten. Ett system som skickar nycklar som bara fungerar under en kort period kommer alltid vara bättre än ett system som skickar permanent fungerande nycklar. Borde inte vara så svårt att förstå...

Det är klart det är bättre, men det är inte bra.. Vid en MITM attack så skyddar inte ditt förslag vilket https gör (förutsatt rätt konfigurerat, dvs. bara acceptera trusted certifikat.) Sedan kan man ju blanda båda metoderna så man har visst skydd mot hål i ssl-ledet, grundskyddet står dock fortfarande ssl för.

Om man inte har sådan lyx som ssl så finns det andra vägar att gå, om än dock knöliga. Se mitt svar till RickardP