Flitig postare
|
|
Reg.datum: Feb 2007
Inlägg: 382
|
|
Flitig postare
Reg.datum: Feb 2007
Inlägg: 382
|
Nje, det där köper jag inte. Du har inget skydd mot MITM-attacker med ditt förslag. Och jag tycker inte att det är en bra idé att ha nyckeln fullt läslig i serverns databas, vid ev. intrång (även om det kanske bara blir en dumpning av databasen) så blir skadan lätt stor iom. fullt läsliga nycklar, som då även fungerar till api:t.
För att få ofarliga url:er i loggen är det ju bara att lägga auth i någon header istället för i url:en.
Att börja knöla med tidsbegränsade hash skulle väl möjligtvis vara om man saknar ssl, men då tycker jag iofs. att man kanske borde börja fundera på en lösning med public/private key istället.. RSA?
|