注册
登录
二进制漏洞
Twitter xAuth vs开源
返回
Twitter xAuth vs开源
作者:
冷月如霜·胡狼
发布时间:
2025-03-29 02:53:46 (9天前)
转自:
<div class =“excerpt”> 进入源文件,它可能是一个 <span class =“result-highlight”> 漏洞 </跨度> (我是对的吗?推特支持人告诉我)。 另一方面,把钥匙直接放入 <span class =“result-highlight”> 二进制 </跨度> 也没有意义。我正在写我的 ,通过查看原始来获取密钥也是微不足道的 <span class =“result-highlight”> 二进制 </跨度> (键具有固定长度和字符集)。 你有什么意见?暴露API密钥真的是一个安全漏洞吗? </DIV>
收藏
举报
2 条回复
0#
回复此人
大黑骡子王
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <P> 安全漏洞?从广义上讲,是的。但实际上,这些并不是我们所讨论的核发射代码。 </p> <P> 关于可能发生的最糟糕的事情是,有人可以使用你的应用程序的密钥来对付Twitter的TOS,这最终会导致密钥被禁止。没有用户数据会因为您没有分发用户令牌而受到攻击(从安全角度来看会更糟糕)。由于任何人都可以在2秒内免费注册一个应用程序,因此进行这种模仿的唯一原因就是玷污您或您的应用程序的声誉。 </p> <P> 您可以做的一件事是将它们从源代码中删除,但要明确用户从源代码编译需要获取自己的密钥并将它们放在适当的位置,但将它们留在您分发的二进制版本中。不是100%安全,但是使得它更难以阻止一定数量的n'er-do-well。 </p> </DIV>
编辑
登录
后才能参与评论
