Security 如何通过(私有)API保护帐户创建?
不久前,智能手机应用程序打开带有验证码的注册页面的浏览器,或者要求通过web单独注册,这是很常见的,因为API注册被视为易受攻击 现在,大多数应用程序似乎都通过本机表单提供注册,尽管它们的公共API中通常没有记录这方面的端点。我还没有看到很多关于这被滥用来创建垃圾邮件帐户的报道Security 如何通过(私有)API保护帐户创建?,security,api,Security,Api,不久前,智能手机应用程序打开带有验证码的注册页面的浏览器,或者要求通过web单独注册,这是很常见的,因为API注册被视为易受攻击 现在,大多数应用程序似乎都通过本机表单提供注册,尽管它们的公共API中通常没有记录这方面的端点。我还没有看到很多关于这被滥用来创建垃圾邮件帐户的报道 这是怎么做到的?是否有标准的加密/握手过程来验证真正的注册,或者注册通常依赖于未记录的端点和简单的API密钥传递?嵌入会带来更好的体验,但也有您提到的问题。是的,另一端的服务所有者仍然担心这一点,并与问题作斗争。而未记录
这是怎么做到的?是否有标准的加密/握手过程来验证真正的注册,或者注册通常依赖于未记录的端点和简单的API密钥传递?嵌入会带来更好的体验,但也有您提到的问题。是的,另一端的服务所有者仍然担心这一点,并与问题作斗争。而未记录的API也没有帮助,服务所有者知道这一点 现在工具箱中的一个工具是分配给可用于节流的设备的键。这将基本上允许您限制每个设备可以使用的服务量,并且需要您拥有一个设备(或者可以从其中偷取密钥)才能提供服务。只要向新设备颁发密钥的过程是强有力的(这是一个可解决的问题),那么您就可以在您愿意为设备提供的范围内提供无验证码注册体验
我还要指出,您还可以使用其他众所周知的方法,如IP节流和与其他服务提供商(如电话运营商)握手。根据问题域的不同,这些问题也在表中…嵌入会带来更好的体验,但也有您提到的问题。是的,另一端的服务所有者仍然担心这一点,并与问题作斗争。而未记录的API也没有帮助,服务所有者知道这一点 现在工具箱中的一个工具是分配给可用于节流的设备的键。这将基本上允许您限制每个设备可以使用的服务量,并且需要您拥有一个设备(或者可以从其中偷取密钥)才能提供服务。只要向新设备颁发密钥的过程是强有力的(这是一个可解决的问题),那么您就可以在您愿意为设备提供的范围内提供无验证码注册体验
我还要指出,您还可以使用其他众所周知的方法,如IP节流和与其他服务提供商(如电话运营商)握手。根据问题域的不同,它们也在表中…您可以使用Wireshark,查看它们是否使用API密钥或加密或类似方法。我想我可以伪造相应的SSL证书,并在共享连接时嗅探Charles的注册流量,但我觉得很奇怪,实际上没有关于这个主题的任何文档。你可以使用Wireshark,看看他们是否使用API密钥或加密或类似技术。我想我可以伪造相应的SSL证书,并在共享连接时嗅探Charles的注册流量,但是我觉得很奇怪,没有关于这个主题的任何文档。Eric,这是有道理的——我猜人们在UDID可用时被它扼杀了。我们可能仍然可以通过MAC地址或类似的方式限制注册。不幸的是,这些都是虚构的,坏人已经很好地解决了这些问题。Eric,这是有道理的——我猜人们在UDID可用时被它扼杀了。我们可能仍然可以通过MAC地址或类似的地址来限制注册。不幸的是,这些都是骗人的传说,坏人已经很好地解决了这些问题。