books/The-API-Book
1
0
Fork 0
mirror of https://github.com/twirl/The-API-Book.git synced 2025-01-05 10:20:22 +02:00
Code Issues Releases Activity

Merge pull request #34 from angryermine/patch-10

Browse Source 
fix typo
This commit is contained in:
Sergey Konstantinov 2022-06-26 23:11:01 +03:00 committed by GitHub
commit e28dd78a9f
No known key found for this signature in database
GPG Key ID: 4AEE18F83AFDEB23
1 changed files with 2 additions and 2 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

4
src/ru/drafts/04-Раздел III. API как продукт/09. Антифрод.md
View File

@ -24,7 +24,7 @@
* вводить иные разумные ограничения (например, для ключа нашего кофейного API можно установить ограничения по странам и городам, в которых работает партнёр).
3. Вводить дополнительное подписывание запроса:
* например, если на странице вебсайте партнера осуществляется поиск лучших предложений лунго, для чего клиент обращается к URL вида `/v1/search?recipe=lungo&api_key={apiKey}`. В этом случае API-ключ может быть заменён на сгенерированную сервером подпись вида `sign = HMAC("recipe=lungo", apiKey)`. Такая подпись может быть украдена, но будет бесполезна для злоумышленника, так как позволяет найти только лунго;
* например, если на странице вебсайта партнера осуществляется поиск лучших предложений лунго, для чего клиент обращается к URL вида `/v1/search?recipe=lungo&api_key={apiKey}`. В этом случае API-ключ может быть заменён на сгенерированную сервером подпись вида `sign = HMAC("recipe=lungo", apiKey)`. Такая подпись может быть украдена, но будет бесполезна для злоумышленника, так как позволяет найти только лунго;
* вместо API-ключа можно использовать одноразовые пароли (Time-Based One-Time Password, TOTP); такие токены действительны, как правило, в течение минуты, что чрезвычайно затрудняет злоумышленнику работу с украденными ключами.
По сути, описанные выше методы — вариации существующих алгоритмов защиты авторских прав (DRM, Digital Rights Management), поскольку конечная цель защиты та же: не допустить несанкционированного использования данных, доступных клиенту. И, как и в случае DRM, недостаток этого подхода — это необходимость законопослушным пользователям тратить время и ресурсы на работу с такой защитой. Любые технологии подобного рода — это всегда некоторые эвристические способы увеличить стоимость атаки настолько, чтобы она стала невыгодной.
@ -35,4 +35,4 @@
С нашей точки зрения лучшей политикой борьбы с фродом является пассивный мониторинг нарушений (с последующим принятием административных мер) плюс возможность партнерам по их желанию установить дополнительные технические ограничения.
**NB**. Описанные выше разнообразные методы борьбы с нарушителями подразумевают, что вы предусмотрели процедуры отзыва ключа — как технические (обеспечение минимальной сложности процедуры смены ключа), так и организационные (уведомление партера о компрометации ключа) — иначе вы попросту ничего не сможете сделать с выявленными фактами фрода.
**NB**. Описанные выше разнообразные методы борьбы с нарушителями подразумевают, что вы предусмотрели процедуры отзыва ключа — как технические (обеспечение минимальной сложности процедуры смены ключа), так и организационные (уведомление партера о компрометации ключа) — иначе вы попросту ничего не сможете сделать с выявленными фактами фрода.