WSDL API Keys unsicher, oder?

[cyberholic]

Moin moin,
immer mehr Seiten bieten APIs an, ganz zu schweigen von den WSDL
Dienstleistern. Bei einigen wie z.B. zum tracken von UPS/DHL Paketen
muss man sich anmelden und beim abfragen der Daten seine individuelle
API mitschicken.

Jetzt hab ich mir die Frage gestellt, wie sicher das ganze eigentlich ist,
wenn man mittels eines SWF Decompilers an die Daten rankommt!?

Dann war es das ja wohl mit dem "secret oder API key",
oder sehe ich das jetzt falsch?

Beste Grüsse und `n schönes Wochenende,

Carlos

[Omega Psi]

Man schickt die API mit?

[messingfeld]

Ich denke er meint einen Authorisationsschlüssel. Der halt sicherstellen soll, das nur bestimmte Personen, bestimmte Dienste nutzen können.

Und wenn du, cyberholic, die Abfragen nur clientseitig machst, dann ist das kein Problem, die Daten abzufangen, die die SWF-Datei wegschickt.
Also auf jeden Fall unsicher und ggf. teuer wenn du für den Webservice zahlen musst.

Dafür braucht man aber noch nicht einmal die SWF "zu knacken", sondern einfach nur die POST/GET Daten, die geschickt und empfangen werden, abzufangen.
Dafür gibt es sogar für Browser Erweiterungen.

Die Anfragen an den Webservice solltest du daher auf jeden Fall serverseitig machen. Das schützt dann erstmal deine "Zugangsdaten".

[cyberholic]

messingfeld: ****, die simple GET/POST Abfrage hatte ich gänzlich
vergessen, aber ist ja logisch!
Mir ist bei einer WSDL Abfrage vorgestern beim eintippen der Keys
sofort ein "SWF decompiler" durch den Kopf geschossen und ich bekam
etwas Panik.
So gesehen sind solche Abfragen dann natürlich unsinning.

Also alles via PHP und die Daten dann an Flash

Danke Dir!