क्या मैं ओवर-इंजीनियरिंग कर रहा हूं यदि मैं उपयोगकर्ता के इरादे को गलत मानता हूं?

क्या यह ओवर-इंजीनियरिंग है अगर मैं किसी उपयोगकर्ता के जानबूझकर गलत काम (इसे हल्के ढंग से डालने के लिए) के खिलाफ सुरक्षा जोड़ता हूं, अगर उपयोगकर्ता को जो नुकसान हो सकता है वह मेरे कोड से संबंधित नहीं है?

स्पष्ट करने के लिए, मैं इस तरह एक साधारण JSON रेस्टफुल सेवा को उजागर कर रहा हूं:

GET /items - to retrieve list of user's items
PUT /items/id - to modify an item
POST /items - to add a new item

सेवा का मतलब केवल ब्राउज़र को गर्त में इस्तेमाल करना नहीं है, बल्कि केवल तृतीय पक्ष एप्लिकेशन से है, जो उपयोगकर्ता द्वारा नियंत्रित किया जाता है (जैसे फोन ऐप, डेस्कटॉप ऐप आदि)। साथ ही, सेवा स्वयं ही स्टेटलेस (यानी सत्र-कम) होनी चाहिए।

प्रमाणीकरण SSL पर मूल प्रमाणीकरण के साथ किया जाता है।

मैं इस तरह से एक संभव "हानिकारक" व्यवहार के बारे में बात कर रहा हूं:

उपयोगकर्ता एक ब्राउज़र में GET url में प्रवेश करता है (कोई कारण नहीं लेकिन ...)। ब्राउज़र बेसिक प्रमाणीकरण के लिए पूछता है, इसे प्रोसेस करता है, और वर्तमान ब्राउज़िंग सत्र के लिए ऑर्ट को संग्रहीत करता है। ब्राउज़र को बंद किए बिना, उपयोगकर्ता दुर्भावनापूर्ण वेब साइट पर जाता है, जिसमें एक दुर्भावनापूर्ण CSRF / XSRF जावास्क्रिप्ट है जो हमारी सेवा के लिए एक POST बनाता है।

उपरोक्त परिदृश्य अत्यधिक संभावना नहीं है, और मुझे पता है कि व्यावसायिक दृष्टिकोण से मुझे बहुत चिंता नहीं करनी चाहिए। लेकिन स्थिति में सुधार के लिए, क्या आपको लगता है कि अगर JSON POST डेटा में उपयोगकर्ता नाम / पासवर्ड आवश्यक है, तो क्या यह मदद करेगा?

या क्या मुझे बेसिक ऑथोरिटी को पूरी तरह से छोड़ देना चाहिए, GET से छुटकारा पाना चाहिए, और उनमें प्राधिकरण जानकारी के साथ केवल POST / PUT का उपयोग करना चाहिए? जैसा कि जानकारी प्राप्त गर्त GET भी संवेदनशील हो सकता है।

दूसरी तरफ, कस्टम हेडर का उपयोग शुद्ध रीस्ट कार्यान्वयन पर विचार करता है? मैं मूल प्रामाणिक को छोड़ सकता हूं, और कस्टम हेडर का उपयोग कर सकता हूं। इस तरह, एक ब्राउज़र से कम से कम सीएसआरएफ हमले से बचा जा सकता है, और जो अनुप्रयोग सेवा का उपयोग करते हैं, वे कस्टम हीथर में उपयोगकर्ता नाम / पासवर्ड सेट करेंगे। इस दृष्टिकोण के लिए बुरा है, कि अब एक ब्राउज़र से सेवा का उपभोग नहीं किया जा सकता है।

से अधिक इंजीनियरिंग? हर्गिज नहीं। एंटी- XSRF उपाय किसी भी सुरक्षित वेब एप्लिकेशन या सेवा का एक आवश्यक हिस्सा हैं। यह "अत्यधिक संभावना नहीं" हो सकता है कि कोई व्यक्ति आप पर हमला करने के लिए चुनेगा, लेकिन यह आपके सॉफ़्टवेयर को कम असुरक्षित नहीं बनाता है।

सिस्टम पर आमतौर पर XSRF का उपयोग करके हमला किया गया है, और हालांकि परिणाम SQL-इंजेक्शन या XSS की तुलना में कम-स्पष्ट रूप से खराब हैं, वे सभी उपयोगकर्ता-इंटरएक्टिव सुविधाओं से समझौता करने के लिए काफी खराब हैं।

इसका मतलब है कि आपके पास "शुद्ध" रेस्टफुल इंटरफ़ेस नहीं हो सकता है, जहां केवल पैरामीटर कॉल के गुण हैं। आपको अनुरोध में कुछ ऐसा शामिल करना चाहिए जो एक हमलावर का अनुमान न लगा सके। वह उपयोगकर्ता नाम-पासवर्ड जोड़ी हो सकती है, लेकिन यह एकमात्र संभव विकल्प से बहुत दूर है। आप पासवर्ड के एक नमकीन हैश से उत्पन्न टोकन के साथ एक साथ उपयोगकर्ता नाम हो सकते हैं। आपके पास प्रमाणीकरण समय पर सेवा द्वारा जारी टोकन हो सकते हैं (जिसे सत्र में याद किया जा सकता है, या क्रिप्टोग्राफिक रूप से सत्यापित किया जा सकता है)।

क्या मुझे GET से छुटकारा पाना चाहिए

नहीं, GET अनुरोधों का उपयोग उन रीड-रिक्वेस्ट के लिए किया जाता है, जिनका कोई सक्रिय लेखन ऑपरेशन नहीं है (वे "बेकार" हैं)। यह केवल लेखन कार्य है जिसमें XSRF सुरक्षा की आवश्यकता होती है।

कभी भी किसी चीज पर भरोसा न करें। हर अनुरोध एक हमला है। हर उपयोगकर्ता एक हैकर है। यदि आप इस मानसिकता के साथ विकसित होते हैं, तो आपका आवेदन अधिक सुरक्षित, स्थिर और दुर्भावनापूर्ण उपयोगकर्ता द्वारा अपहरण किए जाने की संभावना कम होगी। आपके डेटा की गंभीर समस्या (आपके सबसे मूल्यवान संसाधनों में से एक ) के लिए आपकी सुरक्षा के चारों ओर एक रास्ता खोजने के लिए एक चतुर व्यक्ति है ।

यदि आपने अपने आवेदन में एक सुरक्षा छेद की पहचान की है, तो वह सब कुछ करें जो आपको लगता है कि अंतराल को प्लग करने के लिए आवश्यक है। आपका एपीआई, विशेष रूप से, अस्तित्व में सॉफ्टवेयर का सबसे अविश्वसनीय टुकड़ा होना चाहिए। मुझे क्रेडेंशियल्स की आवश्यकता होगी और पोस्ट अनुरोधों के साथ जाना होगा।

यदि कोड स्थापित और रखरखाव किया जाता है, तो किनारे के मामलों को देखा जाना चाहिए और केस-बाय-केस आधार पर निपटा जाना चाहिए।

मेरे हिस्से पर कुछ त्रुटियों के लिए फिक्सिंग:

GET को अभी भी एक उचित RESTful सेवा के हिस्से के रूप में उपयोग किया जाना चाहिए, प्रमाणीकरण को अभी भी किसी भी मामले में होना चाहिए। मैं जो अनुमान लगाने की कोशिश कर रहा था, वह यह था कि सुरक्षा उद्देश्यों के लिए GET POST के समान ही है, लेकिन पोस्ट अपने काम को एक एड्रेस बार में जानकारी के बिना करता है, जो कि बड़ा सुरक्षा अंतर है (और मुझे GET क्यों नापसंद है), लेकिन @Lee द्वारा पोस्ट किया गया,

GET requests are used to retrieve resources, and PUT/POST are used to add/update 
resources so it would be completely against expectations for a RESTful API to use
PUT/POST to get data. 

चूँकि इसका उपयोग थर्ड-पार्टी एप्लिकेशन द्वारा किया जाएगा, इसलिए किसी RESTful सेवा के लिए अच्छी प्रथाओं का पालन करना चाहिए, ताकि अंतिम कार्यान्वयनकर्ता इस भाग में भ्रमित न हों।

आपको सभी प्रशंसनीय घटनाओं पर विचार करना चाहिए, जिसमें उपयोगकर्ता सक्रिय रूप से दुर्भावनापूर्ण है और (सफलतापूर्वक) किसी भी "सुरक्षा को अस्पष्टता" बाधाओं से रिवर्स इंजीनियरिंग करना।

लेकिन एक ही समय में, आपको एक सफलता हैक के प्रभाव का आकलन करना चाहिए, और एक प्रयास होने की संभावना है। उदाहरण के लिए:

• एक ठोस फ़ायरवॉल द्वारा संरक्षित एक आंतरिक सेवा सार्वजनिक इंटरनेट पर एक सेवा की तुलना में हमले के अधीन होने की संभावना कम है।

• ग्राहक चर्चा मंच लेने वाले किसी व्यक्ति का प्रभाव ग्राहक क्रेडिट कार्ड चुराने के प्रभाव से कम होता है।

मेरा कहना है कि "कुल सुरक्षा" "असीम रूप से महंगी" है ... और व्यावहारिक रूप से अस्वीकार्य है। आदर्श रूप से आपको अपने निर्णय लेने चाहिए कि गहन लागत-लाभ विश्लेषण के आधार पर रेखा कहाँ खींचनी है।