Sie könnten denken, dass die Verwendung des Teamgeheimnisses in der Webhook-URL ein Sicherheitsrisiko darstellt, z. B. weil "jemand" den Webverkehr abhören könnte. Dasselbe könnte für die Team-E-Mail-Adresse gelten, die das Teamgeheimnis enthält.
Hier ist der Grund, warum dies nicht der Fall ist:
HTTP wird über oder innerhalb einer TLS-verschlüsselten Kommunikationssitzung übertragen. Sie werden nicht ohne weiteres in der Lage sein, diesen Datenverkehr "abzuhören" und die einfache URL zu sehen, an die ein POST oder GET gesendet wird. Natürlich muss die SIGNL4 Webhook-URL vertraulich behandelt werden, das ist richtig. Es wird erwartet, dass sie nur in Systemen gespeichert/verwendet wird, die an sich ein Identitätsmanagement und eine Zugangskontrolle haben.
Das Gleiche gilt für Ihre SIGNL4-Team-E-Mail. Sichere Mailserver starten jede SMTP-Kommunikation über STARTTLS. Hier kann niemand die Zieladressen ausspähen.
Solange Sie selbst Ihre Teamgeheimnisse nicht preisgeben, ist das kein Problem.
Eine Alternative kann natürlich auch die Nutzung unserer REST-API sein, bei der Sie einen API-Schlüssel im Header übergeben. Das mag sich sicherer anfühlen. Die Sicherheit basiert jedoch auf TLS und nicht auf dem Ort des API-Schlüssels oder des Inhalts innerhalb der Nutzdaten oder des Headers.
Lies hier weiter: https://security.stackexchange.com/questions/118975/is-it-safe-to-include-an-api-key-in-a-requests-url
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.