Client Authentifikation Web-Api: Programm-ID verschlüsseln?
Verfasst: 12.03.2010 18:04
Hallo,
ich schreibe derzeit eine Client-Applikation für ein Online Portal.
Dieses stellt eine Api zur Verfügung, die über HTTPS-Posts angesprochen wird,
d.h. die Übertragung selbst ist verschlüsselt.
Das funktioniert alles wunderbar - nun eine Frage zur Sicherheit:
Diese Applikation soll später anderen Usern zur Verfügung gestellt werden,
das Programm kann allerdings nur mit einer sogenannten Programm-ID im
Header auf die Api zugreifen.
D.h. die Programm-ID muss im Quellcode oder einer beiliegenden Datendatei
natürlich zur Verfügung stehen.
Möglichst sollte Niemand diese ID herausfinden können, da dieser Jemand
sonst mit einer eigenen Applikation über meinen Account auf die Api zugreifen könnte.
Ich habe mir nun überlegt, diese mit z.B. MD5 verschlüsselt im Code
zu hinterlegen und dann vom Programm entschlüsseln zu lassen,
so dass diese dann als Variable zur Verfügung steht.
Meine Frage betrifft nun speziell die Sicherheit dieses Vorgehens -
theoretisch wäre die Variable ja im Speicher einsehbar (wenn man weiß
wonach man sucht - wer sich auskennt weiss aber zumindestens schon mal
die Länge der Variable ist, nach der er sucht (ich glaube die sind immer gleich lang).
Gibt es bessere Möglichkeiten oder bin ich da einfach nur etwas zu Paranoid?
Bin für jeden Vorschlag, Hinweis und Anmerkunge dankbar,
dürfen auch gerne sehr detailiert sein - ich bin bei dieser Sicherheits-Thematik
nicht wirklich Fit.
Gruß und schönes Wochenende.
ich schreibe derzeit eine Client-Applikation für ein Online Portal.
Dieses stellt eine Api zur Verfügung, die über HTTPS-Posts angesprochen wird,
d.h. die Übertragung selbst ist verschlüsselt.
Das funktioniert alles wunderbar - nun eine Frage zur Sicherheit:
Diese Applikation soll später anderen Usern zur Verfügung gestellt werden,
das Programm kann allerdings nur mit einer sogenannten Programm-ID im
Header auf die Api zugreifen.
D.h. die Programm-ID muss im Quellcode oder einer beiliegenden Datendatei
natürlich zur Verfügung stehen.
Möglichst sollte Niemand diese ID herausfinden können, da dieser Jemand
sonst mit einer eigenen Applikation über meinen Account auf die Api zugreifen könnte.
Ich habe mir nun überlegt, diese mit z.B. MD5 verschlüsselt im Code
zu hinterlegen und dann vom Programm entschlüsseln zu lassen,
so dass diese dann als Variable zur Verfügung steht.
Meine Frage betrifft nun speziell die Sicherheit dieses Vorgehens -
theoretisch wäre die Variable ja im Speicher einsehbar (wenn man weiß
wonach man sucht - wer sich auskennt weiss aber zumindestens schon mal
die Länge der Variable ist, nach der er sucht (ich glaube die sind immer gleich lang).
Gibt es bessere Möglichkeiten oder bin ich da einfach nur etwas zu Paranoid?
Bin für jeden Vorschlag, Hinweis und Anmerkunge dankbar,
dürfen auch gerne sehr detailiert sein - ich bin bei dieser Sicherheits-Thematik
nicht wirklich Fit.
Gruß und schönes Wochenende.
