| FAQ |
| Kalender |
|
|
2009-09-02, 13:31
|
#1 | |||
|
||||
|
Mycket flitig postare
|
Citat:
 Citat:
|
|||
|
 Svara med citat
|
|
2009-09-02, 13:27
|
#2 | |||
|
||||
|
Mycket flitig postare
|
Jag har fått ett tips som jag tycker låter väldigt smart, att man borde hasha alla paramterar man skickar till API:et med en api nyckel.
På detta sätt blir det alltid olika hashar på samtliga api anrop, för i detta fall är det ett sms api som skickar sms ;-) |
|||
|
|
Svara med citat
|
|
2009-09-03, 23:34
|
#3 | ||
|
|||
|
Flitig postare
|
Det jag försöker få fram: ditt förslag ger bara falsk säkerhet. Det är ett hål, även om det, under normala förutsättningar, inte går att utnyttja mer än kort tid efter attacktillfället. Men under den korta tiden så kan man å andra sidan utnyttja det fullt ut..
|
||
|
|
Svara med citat
|
|
2009-09-04, 00:36
|
#4 | |||
|
||||
|
Mycket flitig postare
|
Citat:
|
|||
|
|
Svara med citat
|
|
2009-09-03, 23:36
|
#5 | ||
|
|||
|
Flitig postare
|
RickardP: Mjo, jag skrev någonting sådant förut i tråden. Finns dock ett problem som inte blir löst på det sättet: Man kan skicka det sms:et om och om igen och belasta nyttjaren av api:t tungt ekonomiskt sätt, samt spamma ganska rejält. För att lösa det problemet så får man titta på annat håll, t.ex. även skicka med ett unikt löpnummer som aldrig får förekomma dubbelt, eller börja snegla på ssl.
|
||
|
|
Svara med citat
|
|
2009-09-06, 18:23
|
#6 | ||
|
|||
|
Flitig postare
|
Det är klart det är bättre, men det är inte bra.. Vid en MITM attack så skyddar inte ditt förslag vilket https gör (förutsatt rätt konfigurerat, dvs. bara acceptera trusted certifikat.) Sedan kan man ju blanda båda metoderna så man har visst skydd mot hål i ssl-ledet, grundskyddet står dock fortfarande ssl för.
Om man inte har sådan lyx som ssl så finns det andra vägar att gå, om än dock knöliga. Se mitt svar till RickardP |
||
|
|
Svara med citat
|
| Svara |
«
Föregående ämne
|
Nästa ämne
»
Hybrid-visning
|
|
Alla tider är GMT +2. Klockan är nu 13:02.