Tweet
Hallo zusammen
Für ein Webapp brauche ich noch eine API mit welcher via Java und iOS auf eine Datenbank zugegriffen und in diese teilweise geschrieben werden kann.
Wenn möglich sollte das ganze einfach via HTTPS Request funktionieren.
Ich denke, ich übernehme mich da ein wenig, aber es sollte für einen "Bösewicht" nicht möglich sein, mit Wireshark den Header auszulesen und ihn zu reproduzieren.
Ich könnte einen Code/Zertifikat in das Java/iOS Programm einbinden und die Antwort damit entschlüsseln, aber auch hier gäbe es sicherlich die Möglichkeit, dieses Zertifikat zu extrahieren.
Ich brauche keine fertigen Lösungen natürlich, aber wenn es den einen oder anderen Hinweis gibt, in welche Richtung ich weiter suchen müsste wäre ich schon mal froh.
Bereits gelesen habe ich:
security - Securing an API: SSL & HTTP Basic Authentication vs Signature - Stack Overflow
API security question: SSL or more? - Stack Overflow
Dort wird jeweils gesagt das SSL ausreicht und das SSL nicht ausreicht
Wenn ich nun will, dass nur das Java/iOS Programm die API benutzen kann hätte ich da noch weitere Möglichkeiten?
Weil selbst wenn ich noch mit einem im Sourcecode hinterlegten Passwort ver-/entschlüssle, könnte man immernoch den kompilierten Code dekompilieren und so eventuell an das Passwort kommen.
Was für weitere Methoden könnte ich nutzen?
Für jede Aktion zuerst einen temporären Schlüssel erstellen und diesen nach einer Aktion wieder verfallen lassen?
Für ein Webapp brauche ich noch eine API mit welcher via Java und iOS auf eine Datenbank zugegriffen und in diese teilweise geschrieben werden kann.
Wenn möglich sollte das ganze einfach via HTTPS Request funktionieren.
Ich denke, ich übernehme mich da ein wenig, aber es sollte für einen "Bösewicht" nicht möglich sein, mit Wireshark den Header auszulesen und ihn zu reproduzieren.
Ich könnte einen Code/Zertifikat in das Java/iOS Programm einbinden und die Antwort damit entschlüsseln, aber auch hier gäbe es sicherlich die Möglichkeit, dieses Zertifikat zu extrahieren.
Ich brauche keine fertigen Lösungen natürlich, aber wenn es den einen oder anderen Hinweis gibt, in welche Richtung ich weiter suchen müsste wäre ich schon mal froh.
Bereits gelesen habe ich:
security - Securing an API: SSL & HTTP Basic Authentication vs Signature - Stack Overflow
API security question: SSL or more? - Stack Overflow
Dort wird jeweils gesagt das SSL ausreicht und das SSL nicht ausreicht
Wenn ich nun will, dass nur das Java/iOS Programm die API benutzen kann hätte ich da noch weitere Möglichkeiten?
Weil selbst wenn ich noch mit einem im Sourcecode hinterlegten Passwort ver-/entschlüssle, könnte man immernoch den kompilierten Code dekompilieren und so eventuell an das Passwort kommen.
Was für weitere Methoden könnte ich nutzen?
Für jede Aktion zuerst einen temporären Schlüssel erstellen und diesen nach einer Aktion wieder verfallen lassen?
Moderator
Kommentar