|
Flitig postare
|
|
Reg.datum: Feb 2007
Inlägg: 382
|
|
|
Flitig postare
Reg.datum: Feb 2007
Inlägg: 382
|
Säkrast för GET är:
* HTTPS
* HTTP Auth/Cookie/etc med någon "apinyckel" skiljd från inloggningsuppgifter (vid ev. intrång på klient-sidan så är det bara api:t man kommer åt, man kommer inte längre)
* Ingenting i URL:en eftersom att det troligtvis fastnar i någon rolig logg någonstans, vilket minskar säkerheten lite eftersom att nyckel/inloggningsuppgifter fastnar där "permanent". Förslagsvis är nyckeln hashad i databasen så ev. läsning i databasen ger ingen nyckel. Men om man även kan få tag på loggen så..
|