Sicherheits Architektur bei öffentlicher REST API

[chrrillo]

Ich habe eine Website und eine Datenbank.
Die Daten aus der Datenbank werden mittels flash "visualisiert" (graphen und so zeugs).
Die Seite und der flash graph sind(und müssen sein) öffentlich für Jedermann zugänglich.
Um die daten in das flash zu bekommen habe ich mittels cake php eine REST Api gemacht.

flash --> request an API --> API schickt xml mit daten an flash

das ist alles wunderbar einfach. mein Problem:
die daten sind grundsätzlich öffentlich, ich möchte aber nicht dass irgendjemand meine API anzapfen kann, da die Inhalte exklusiv für diese Seite sind. ich möchte also "sicherstellen" dass nur mein flash client von meiner Seite auf die API zugreiffen kann. zu 100% wird das nie gehen da die daten ja öffentlich sind und alles was öffentlich ist auch irgendwie zugänglich.

folgende ideen kenne ich bereits um die sicherheit zu erhöhen:

einen api key ins swf schreiben und am server checken --> swf könnte dekompiliert werden

in php den referrer checken --> kann gespooft werden

jedes mal wenn das swf ausgegeben wird einen token in die session speichern und an das swf mitgeben welcher dann mit der vom server gecheckt wird. --> der token ist im sourcecode auslesbar

die mögliche request anzahl der api limitieren

meine Frage:
kennt jemand eine bessere oder andere lösung mit der ich das wasserdicht machen kann

[grits.poelsa]

Abend,

wie wäre es mit Sessions? Ist ja der gängige Weg, um Zugriffe abzusichern.

[chrrillo]

wie meinst du mit sessions? ein user login ist in dem fall keine option. wenn flash den request schickt wird ja meines wissens die session nicht mit geschickt, ich müsste also erst die session id and das swf ausgeben und dann als variable dem request hinzufügen. was das gleiche problem wie bei dem token aufwerfen würde?

[grits.poelsa]

Hm, ich gebe zu das ich blind ins Blaue geschossen habe, aber es muss doch möglich sein, Sessions mit Flash zu nutzen.

Prinzipiell meine ich schon eine art "Login", aber man kann User ja auch ohne Extra Eingabe/Formular/Abfrage einloggen, so dass sie nichts davon mitbekommen, aber eben eine Session erzeugt wird.

Aber ich frage mich ja, was das für Daten sind, dass du Angst hast dass Leute Decompiler einsetzten, nur um auf andere Art an die Daten zu kommen.

[chrrillo]

ja die daten selbst sind in dem fall nicht soo sensibel, da gehts mehr um mein Grundverständnis. da sie durch das swf öffentlich sind, könnte sie ja auch wer händisch abschreiben.

das ganze wird für ein online magazine und die daten sind eben ein Werttreiber für die Seite und soll nicht einfach von anderen Seiten kopiert werden können. wenn die API jetzt einfach so offen steht wäre das zu einfach. Es geht mehr darum die optimale Architektur für so etwas zu entwickeln.

Wenn ich rein in html arbeiten würde währe es ja sehr einfach weil die api im server bleiben würde, aber ich denke es sollte auch möglich sein sowas in flash zu machen.

[Omega Psi]

Wenn Daten nicht sicher sein sollen kann man sie auch nicht sichern.

Eine Möglichkeit wäre es, dass der Client schon zu Beginn eine Session anonym, also ohne Login aufbaut. Das ganze ist aber irgendwie witzlos. Das ganz scheitert an der Tatsache, dass es keine Form von Datensicherung gibt.

[chrrillo]

Zitat:

Zitat von Omega Psi

Wenn Daten nicht sicher sein sollen kann man sie auch nicht sichern.

ja leider. im grunde ist meine idee ja absolut paradox. es geht im grunde nur darum zu kontrollieren wie die inhalte nach aussen kommen, nicht die tatsache dass sie öffentlich sind.