Authentifizierung an API bei aktivierter 2FA
-
@fodinabor doch damit kannst dich auch direkt in CT anmelden, musst dir nur die Cookies kopieren.
Wenn man CT normal nutzt, läuft die Auth über die Cookies und nicht über Query Params.
Wenn man die API entsprechend nutzt, kann es eine durchaus legitime Möglichkeit sein, den Token via Query Param zu verschicken. In der Annahme, dass CT hier richtig loggt
Mal anders rum, die von dir genannten Dinge sind Angriffe auf die TLS Verbindung. Wenn man da reinschauen kann, dann kann man auch noch den Request Body anschauen.
-
@Marcel hab grad nicht dran gedacht, ist ja noch besser
klar, wenn CT richtig loggt.. sonst gibts immer noch paar Gemeinden, die hosten (lassen), wo vermutlich die vollen GET Strings geloggt werden (was ja nicht wirklich verwerflich ist) -> Tokens im Webserver Log.
Ähm.. klar kann man. Normal wird aber nur der GET String geloggt.
Heißt: GET Parameter tauchen sehr viel häufiger in Logs und diese Logs werden nicht unbedingt mit besonderer Sorgfalt geschützt. Ja.. die Credentials im GET Param zu haben ist sehr convenient, da man sich um sehr viel weniger kümmern muss.. aber:
- die meisten HTTP client APIs sind mittlerweile ausgereift und einfach genug mit POST zu verwenden
- HTTP Header setzen ist ähnlich schnell gemacht, da könnte man dann mit Bearer Token arbeiten (oder gleich auf OAuth2 setzen), dann gehen auch weiterhin GET Requests nur halt, dass die Authentifizierungs informationen nicht in der URL enthalten sind.
Alles was ich sagen will, ist dass ich es für eine neu entworfene RESTful API eher schade finde, dass solche eher schlüpfrigen Entscheidungen getroffen werden...