Tôi có quá kỹ thuật không nếu tôi xem xét hành vi sai trái có chủ ý của người dùng?

Có quá kỹ thuật không nếu tôi thêm sự bảo vệ chống lại hành vi sai trái có chủ ý của người dùng (nói một cách nhẹ nhàng), nếu tác hại mà người dùng có thể phải chịu không liên quan đến mã của tôi?

Để làm rõ, tôi đang phơi bày một dịch vụ JSON RESTful đơn giản như thế này:

GET /items - to retrieve list of user's items
PUT /items/id - to modify an item
POST /items - to add a new item

Bản thân dịch vụ này không có nghĩa là được sử dụng qua một trình duyệt, mà chỉ từ các ứng dụng của bên thứ ba, được kiểm soát bởi người dùng (như ứng dụng điện thoại, ứng dụng máy tính để bàn, v.v.). Ngoài ra, bản thân dịch vụ nên không trạng thái (tức là không có phiên).

Việc xác thực được thực hiện với Xác thực cơ bản qua SSL.

Tôi đang nói về một hành vi "có hại" như thế này:

Người dùng nhập url GET trong trình duyệt (không có lý do nào ngoài ...). Trình duyệt yêu cầu Auth cơ bản, xử lý nó và lưu trữ auth cho phiên duyệt hiện tại. Không đóng trình duyệt, người dùng truy cập trang web độc hại, có javascript CSRF / XSRF độc hại tạo POST cho dịch vụ của chúng tôi.

Kịch bản trên rất khó xảy ra và tôi biết rằng từ góc độ kinh doanh, tôi không nên quá lo lắng. Nhưng để cải thiện tình hình, bạn có nghĩ rằng nếu tên người dùng / mật khẩu được yêu cầu trong dữ liệu JSON POST cũng sẽ giúp ích?

Hoặc tôi nên bỏ Basic Auth hoàn toàn, loại bỏ GET và chỉ sử dụng POST / PUT với thông tin ủy quyền trong đó? Vì thông tin lấy được máng GET cũng có thể nhạy cảm.

Mặt khác, việc sử dụng các tiêu đề tùy chỉnh có được coi là triển khai REST thuần túy không? Tôi có thể thả Auth cơ bản và sử dụng các tiêu đề tùy chỉnh. Bằng cách đó, ít nhất có thể tránh được cuộc tấn công CSRF từ trình duyệt và các ứng dụng sử dụng dịch vụ sẽ đặt tên người dùng / mật khẩu trong thạch cao tùy chỉnh. Điều tồi tệ cho phương pháp này là, hiện tại dịch vụ không thể được sử dụng từ trình duyệt.

Quá kỹ thuật? Không có gì. Các biện pháp chống XSRF là một phần cần thiết của bất kỳ ứng dụng hoặc dịch vụ web an toàn nào. Nó có thể hoặc không phải là một người cực kỳ khó tin mà ai đó sẽ chọn để tấn công bạn, nhưng điều đó không làm cho phần mềm của bạn không an toàn.

Các hệ thống thường bị tấn công khi sử dụng XSRF và mặc dù kết quả ít ngay lập tức - rõ ràng là xấu hơn so với SQL-tiêm hoặc XSS, nhưng chúng đủ tệ để thỏa hiệp tất cả các tính năng tương tác với người dùng.

Điều đó không có nghĩa là bạn không thể có giao diện RESTful tinh khiết trong đó các tham số duy nhất là thuộc tính của chính cuộc gọi. Bạn phải bao gồm một cái gì đó trong yêu cầu mà kẻ tấn công không thể đoán. Đó có thể là cặp mật khẩu tên người dùng, nhưng đó là sự lựa chọn duy nhất có thể. Bạn có thể có tên người dùng cùng với mã thông báo được tạo từ hàm băm của mật khẩu. Bạn có thể có mã thông báo do chính dịch vụ phát hành tại thời điểm xác thực (có thể được ghi nhớ trong phiên hoặc được xác minh bằng mật mã).

tôi có nên thoát khỏi GET

Không, các yêu cầu GET được sử dụng cho các yêu cầu đọc không có hoạt động viết chủ động (chúng là Id idototent). Nó chỉ ghi các hoạt động yêu cầu bảo vệ XSRF.

Không bao giờ tin bất cứ điều gì. Mỗi yêu cầu là một cuộc tấn công. Mỗi người dùng là một hacker. Nếu bạn phát triển với tư duy này, ứng dụng của bạn sẽ an toàn hơn, ổn định hơn và ít có khả năng bị tấn công bởi người dùng độc hại. Tất cả chỉ cần một người thông minh tìm cách bảo mật cho bạn để gặp rắc rối nghiêm trọng với dữ liệu của bạn (một trong những tài nguyên quý giá nhất của bạn ).

Nếu bạn đã xác định lỗ hổng bảo mật trong ứng dụng của mình, hãy làm mọi thứ bạn nghĩ bạn cần làm để cắm lỗ hổng. API của bạn, đặc biệt, phải là phần mềm không đáng tin cậy nhất trong sự tồn tại. Tôi sẽ yêu cầu thông tin đăng nhập và đi với yêu cầu Đăng.

Nếu mã được thiết lập và duy trì, các trường hợp cạnh nên được xem xét và xử lý trên cơ sở từng trường hợp.

CỐ ĐỊNH ĐẾN MỘT SỐ L ERI TRÊN PHẦN CỦA TÔI:

GET vẫn nên được sử dụng như một phần của dịch vụ RESTful thích hợp, xác thực cần phải có trong mọi trường hợp. Điều tôi cố gắng phỏng đoán là vì mục đích bảo mật, GET giống như POST nhưng bài đăng hoạt động mà không đưa thông tin vào thanh địa chỉ, có xu hướng là sự khác biệt lớn về bảo mật (và tại sao tôi không thích GET), nhưng như được đăng bởi @Lee,

GET requests are used to retrieve resources, and PUT/POST are used to add/update 
resources so it would be completely against expectations for a RESTful API to use
PUT/POST to get data. 

Vì ứng dụng này của bên thứ ba sẽ được sử dụng, nên người ta phải tuân theo các thực tiễn tốt cho dịch vụ RESTful để người thực hiện cuối sẽ không bị nhầm lẫn trong phần này.

Bạn nên xem xét tất cả các tình huống có thể xảy ra, bao gồm cả người dùng đang tích cực độc hại và (thành công) đảo ngược mọi rào cản "bảo mật bằng cách che khuất".

Nhưng đồng thời, bạn nên đánh giá tác động của một vụ hack thành công và khả năng xảy ra một nỗ lực. Ví dụ:

• Một dịch vụ nội bộ được bảo vệ bởi một tường lửa vững chắc sẽ ít bị tấn công hơn một dịch vụ trên internet công cộng.

• Tác động của việc ai đó gỡ xuống một diễn đàn thảo luận khách hàng ít hơn tác động của việc họ đánh cắp thẻ tín dụng của khách hàng.

Quan điểm của tôi là "bảo mật toàn diện" là "vô cùng đắt đỏ" ... và thực tế không thể thực hiện được. Tốt nhất là bạn nên đưa ra quyết định về nơi vẽ đường dựa trên phân tích lợi ích chi phí kỹ lưỡng.