Question

Я управляю сайтом, который является реализацией проприетарного решения хостинг + cms. Это решение предлагает приятный doc'd API, с которым у меня было несколько программистов, работающих по контракту, для создания пользовательских расширений функциональности сайта.

Поэтому мне приходилось делиться ключами API несколько раз. Методы, вызываемые API, могут работать с базой данных несколькими способами. Таким образом, совместное использование ключей со слишком большим количеством людей представляет собой угрозу безопасности, которую я пытаюсь избежать, но я также даже не начал достигать уровня, когда я могу позволить себе привлечь полностью занятого разработчика. Таким образом, мне по-прежнему придется дольше делиться ключами.

Как так, как бы я пошел на ограничение своего риска в максимально возможной степени? Я знаю, что делиться с как можно меньшим количеством людей - это очевидный ответ, и я сделаю это как можно больше.

Но в дополнение к этому решению, как другие сайты / администраторы идут по этому поводу?

rook · Answer 1 · 11 сентября 2010

Срок действия таких ключей должен истекать через равные промежутки времени.В случае ssl большинство сертификатов истекает через 1 год.Пять лет более чем достаточно, чтобы предотвратить угрозу грубой силы, даже если вы используете небольшое пространство ключа.Однако, если какая-либо точка вашего сервера будет взломана, вам следует восстановить ваши ключи, а также изменить все пароли.

Должен ли / может ли кто-нибудь регулярно менять свои ключи Public и Private API в целях безопасности?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Должен ли / может ли кто-нибудь регулярно менять свои ключи Public и Private API в целях безопасности?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов