SORU
13 ŞUBAT 2010, CUMARTESİ


Nasıl Google Haritalar API Anahtarı güvenli mi? Nasıl benzer bir şey yapmak için?

Şu anda Google haritadan servis edileceği alanı belirli bir API Anahtarı oluşturmak için gerektirir. Nasıl Google bu zorunlu mu? Aynı şeyi yapmak istiyorum.

Benim hizmet için bir API erteliyorum ama istemciler sunucudan javascript üzerinden API ve sadece aramaları gömmek için izin ister. Sadece rastgele bir belirteç ile güvenli olabilir ama tabii ki bu kolay kimseye istemci makinede kod bakarak sahte olabilir.

Ben her zaman bu kavramı mümkün olduğu anlaşılır ama bir şekilde Google mı zorlanarak iyi bir iş.

Edit - Google gerçekten bir şey sonuçta inanılmaz yapmadı gibi geliyor. Onların API sadece izleme için büyük olasılıkla ve gerçekten kendi API anahtarı olan kişi tarafından kullanılan garanti değildir.

CEVAP
13 ŞUBAT 2010, CUMARTESİ


Muhtemelen anahtarın gizli Google API sadece ve ilişkili etki tek yönlü bir hash kendisi API anahtarı server biliyor. Tanınmış (tabii ki Google için) bazı bilgileri diğer parçalar içeriyor olabilir. Bu etki alanından bir istek yaptığınızda, API sunucu isteği geliyor ve aynı şekilde, bir karma hesaplama yapar ve iki değeri karşılaştırır etki alır.

Ajax çağrıları için, onlar büyük olasılıkla yönlendirme belgenin etki alanı ana bilgisayar almak için kullanın. Yönlendirme taklit edilebilir olsa da, sonuçta API kullanmak için Google javascript belgede çalıştırmak için almak gerekir. Bu noktada, bu gerçekten javascript Ajax API çağrısı çağrılan belge hedef sunucu kaynaklı olduğunu doğrulayın. Bu da tabii ki spoofable, senaryonun sinek değişiklik kendi DOM uygulamanız olması koşuluyla. Ancak, bu sızdırma müşteri tarafında gerçekleşmesi gerekiyor ve Google API kullanmak isteyen web istemci yazılımı taklit edebilme şansını oldukça küçük.

API aslında ücretsiz olduğu için, kendi API için anonim erişimi de sunulan olabilirler unutmayın. Görünüşe göre Google'ın kasıt olmadığı için yetkisiz erişimi korumak için, ama emin olun onlar kadar veri toplamak mümkün hakkında veri kullanımı ve muktedir ortak kullanımı ile diğer veri ettiler toplanan yaklaşık hedef etki alanı. Gibi, API anahtarı doğrulaması yukarıda açıklanan olandan çok daha karmaşık olmasını beklemiyorum, daha gelişmiş bir yaklaşım üzerinde yatırım getirisi çok düşük.

Ve tabii ki de kendi API aracılığıyla Olası XSS saldırıları endişe var. Ama API anahtarı çok fazla var anti-XSS herhangi bir koda bağlı olduğuna inanmıyorum.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • AlaskanGrizzly

    AlaskanGrizz

    30 EKİM 2009
  • Pocketnow

    Pocketnow

    14 EKİM 2007
  • williamfitzsimmons

    williamfitzs

    14 Mart 2008