Ankündigung

Einklappen
Keine Ankündigung bisher.

Erster JSON API-Zugriff und mögliche Sicherheitslücken

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Erster JSON API-Zugriff und mögliche Sicherheitslücken

    Hallo zusammen,

    ich versuche mich gerade mit API-Zugriffen und habe bezüglich der Sicherheit ein paar Fragen.
    Wenn ich wie im Folgenden in einer PHP-Datei, die bspw. unter domain.de/test.php aufrufbar ist, auf eine API zugreife und mein Token "plain" in dieser benannt wird, ist dies ein Sicherheitsrisiko?
    Mein Token sollte nicht von Dritten gelesen werden, da die benutzte API keine Rollenvergabe erlaubt und somit mit diesem Token eine volle Verwaltung meiner privaten Daten möglich ist.

    Bei Fehlermeldungen wird bspw. die $url auch im Browser angezeigt.

    Gehe ich das ganze komplett falsch an oder gibt es einfache Möglichkeiten dies zu unterbinden?
    Ist es sinnvoll eine Datei mit Token im Root anzulegen und auf diese zuzugreifen?


    PHP-Code:
    $url 'https://www.beispielapi.com/beispielfunktion/?token=##########'
    $data file_get_contents($url);
    $test json_decode($datatrue); 

    Ich würde mich über eine Hilfestellung freuen. Danke!



  • #2
    Du hast bei Authentifizierung ja immer das Problem, das dein Schlüssel irgendwie gespeichert und transportiert werden muss. Ganz fies könntest du die Fehlermeldung mit @file_get_contents unterdrücken. Je nachdem wie realtime das sein muss, kannst du den Job auch durch ein Program erledigen lassen und nur noch die gecacheden Daten aus einer Datenbank abfragen.
    You know, my wife sometimes looks at me strangely. „Duncan“, she says, „there's more to life than Solaris“. Frankly, it's like she speaks another language. I mean, the words make sense individually, but put them together and it's complete nonsense.

    Kommentar


    • #3
      Fehlermeldungen sollten auf Produktivsystemen kein Problem sein da diese dort bei ordentlicher Konfiguration, nicht zur Anzeige kommen sondern ins log geschrieben werden.

      Prinzipiel besteht als einzige Gefahr das das Script aus irgendwelchen Gründen nicht geparst wird und aller Inhalt ausgegeben wird. Deshalb ist dier einzige nötige Schritt für Dich auch nur, das Du das Token in einer Datei ausserhalb von DOCUMENT_ROOT ablegst.
      PHP-Manual ¡ mysql_* ist veraltet ¡ Debugging: Finde DEINE Fehler selbst ¡ Passwort-Hashing ¡ Prepared Statements

      Kommentar

      Lädt...
      X