 Autor
|
Tema: Securizando access token en aplicacion js de lado del cliente (Leído 3,043 veces)
|
50l3r
 Desconectado
Mensajes: 784
Solo se que se algo pero no me acuerdo
|
Buenas tardes gente, hace mucho que no me paso por aquí, Tengo en proceso de desarrollo un proyecto de maquetación y diseño de páginas web para pymes con la gestion de datos de manera centralizada, de forma que todas y cada una de las webs creadas ataquen a una api rest que les devuelva todos los datos tales como noticias, productos, información de la empresa...etc. Mi idea es crear un backend donde gestionar cada cuenta de cliente y agregar entidades tales como productos, noticias...etc A este backend accederán los clientes y podran gestionar únicamente su información y tanto su web como cualquier otro proyecto suyo podrá acceder mediante una api rest a la información. El objetivo es que cada proyecto web este creado puramente en html y js gracias al apoyo de angularjs u otro framework, obviando cualquier lenguaje de lado del servidor y realizando simplemente peticiones a la api para recoger y gestionar los datos. La parte del backend ya la tengo realizada, pero tengo una duda: ¿Como puedo privatizar el acceso a la información de un cliente en concreto? Las peticiones crud a la api se realizan a traves de javascript y cualquier persona podría ver el token de seguridad, copiarlo y gestionar la información por su cuenta, llegandose incluso a poder crear una web propia con los datos del cliente. Entiendo que no sea suficiente con ssl, así que haber que me podeis decir 
|
|
|
|
|
En línea
|
|
|
|
|
engel lex
|
sino es suficiente con ssl entonces no hay opción... ya la capa de seguridad establecida con ssl/tsl debe ser lo suficiente para evitar cualquier intento de MitM... si atraviesan tu seguridad, quiere decir que usan computación cuantica para calcular las raices o (lo que es más probable) que lo implantaste mal... fuera de eso, nada en jscript es seguro...
|
|
|
|
|
En línea
|
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
|
|
|
EFEX
Desconectado
Mensajes: 1.171
"Dinero Facil"
|
Ademas de la api key, le pides al cliente que probee de una url donde estara alojado su web.
|
|
|
|
|
En línea
|
|
|
|
50l3r
Desconectado
Mensajes: 784
Solo se que se algo pero no me acuerdo
|
La capa de seguridad https preveerá ataques mitm estoy seguro, pero me refiero a que cuando javascript realiza una peticion ajax, la traza es visible en el debugger del navegador:  Ahora mismo este proyecto lo estoy manejando por sesiones, pero el objetivo es usar acces tokens, y este seria visible al igual que la propia sesion si no me equivoco. Dado que la información de cada web se recogeria por ajax, cualquier persona que la visitara podria tener a mano la información y utilizarla en su beneficio, pudiendo hacer las peticiones desde otro sitio ¿no es asi? El token dejaria de ser algo "oculto" |
|
|
|
|
En línea
|
|
|
|
EFEX
Desconectado
Mensajes: 1.171
"Dinero Facil"
|
.. pero me refiero a que cuando javascript realiza una peticion ajax, la traza es visible en el debugger del navegador.
Creo que por mas sea visible, el servidor reconoce esa peticion y descarta las demas como cuando sucede un ataque csrf, en el se usa un token. Ahora mismo este proyecto lo estoy manejando por sesiones, pero el objetivo es usar acces tokens, y este seria visible al igual que la propia sesion si no me equivoco.
Podrias buscar otros servicios RESTful que trabajen con js para ver como lo realizan. Dado que la información de cada web se recogeria por ajax, cualquier persona que la visitara podria tener a mano la información y utilizarla en su beneficio, pudiendo hacer las peticiones desde otro sitio ¿no es asi? El token dejaria de ser algo "oculto"
Es como te decia, contra ataques csrf el framework en el que estes trabajando en tu backend deberia de proveerte de un token. No entiendo del todo del proyecto como es usado, ni tampoco hice antes una api restful, asi que prodria estar equibocandome. off: Sos el creador de gamers.ly? Y yo que queria hacerte la competencia  , que le paso al sitio?
|
|
|
|
|
En línea
|
|
|
|
50l3r
Desconectado
Mensajes: 784
Solo se que se algo pero no me acuerdo
|
Creo que por mas sea visible, el servidor reconoce esa peticion y descarta las demas como cuando sucede un ataque csrf, en el se usa un token. Podrias buscar otros servicios RESTful que trabajen con js para ver como lo realizan. Es como te decia, contra ataques csrf el framework en el que estes trabajando en tu backend deberia de proveerte de un token. No entiendo del todo del proyecto como es usado, ni tampoco hice antes una api restful, asi que prodria estar equibocandome. off: Sos el creador de gamers.ly? Y yo que queria hacerte la competencia , que le paso al sitio? El problema es que los tokens para evitar csrf se actualizan por cada petición, y aquí un token puede tener una caducidad, pero no es generado constantemente. Se me ocurrió generar un whitelist con una serie de direcciones ip pero las peticiones las realiza el cliente y no el servidor que aloja la web. Si, soy el creador de gamers.ly. No seguí con ello por el tema legal que conlleva tener un sitio como pordede y similares. El proyecto lo termine por actualizar y estaba de vicio, pero quedó en saco roto.
|
|
|
|
|
En línea
|
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
|
Ejecutar OCX del lado del cliente...
Programación Visual Basic
|
xWin2
|
1
|
1,834
|
26 Julio 2005, 00:24 am
por Slasher-K
|
|
|
|
LLamar a una funcion desde lado cliente ASP.NET
.NET (C#, VB.NET, ASP)
|
USLO
|
0
|
2,382
|
14 Mayo 2012, 15:57 pm
por USLO
|
|
|
|
LessCSS (CSS Dinámico del lado del cliente)
Desarrollo Web
|
WHK
|
1
|
2,030
|
3 Agosto 2013, 14:39 pm
por peib0l
|
|
|
|
Ofuscar HTML del lado del cliente en LAMP
Desarrollo Web
|
bavo08
|
5
|
4,230
|
2 Noviembre 2014, 02:23 am
por JorgeEMX
|
|
|
|
Access token instagram
Desarrollo Web
|
huerto123
|
2
|
5,412
|
8 Diciembre 2020, 19:54 pm
por el-brujo
|
 |
