Ich habe eine App erstellt, die als Brücke zwischen 2 verschiedenen APIs dient - WebEx & Exchange Web Services - und E-Mail. Ein Benutzer sendet eine Kalendereinladung an eine spezielle E-Mail-Adresse, die Anwendung analysiert das ICS und erstellt ein WebEx-Meeting, stellt dann eine Verbindung mit den Exchange-Webdiensten her und fügt die WebEx-Einladungsinformationen in die ursprüngliche Einladung ein.Sicher speichern API-Anmeldeinformationen, die als Klartext verwendet werden müssen
Dies wurde erstellt, da WebEx keine Mac E-Mail/Kalender-Integration hat.
Der Haken ist, dass WebEx API und Exchange API zu verwenden, brauche ich natürlich Anmeldeinformationen für beide APIs. Ich sichere die Anmeldeinformationen sicher mit AES-256-Bit-Verschlüsselung in der DB, aber für den Zugriff auf die APIs brauche ich ursprüngliche Klartext-Anmeldeinformationen (keine oAuth oder Token-Unterstützung in APIs). Sie werden natürlich sicher über SSL übertragen.
Das Sicherheitsrisiko besteht nicht darin, dass die Kennwörter gestohlen werden, da Verschlüsselungsschlüssel sicher gespeichert werden. Das Problem, das ich angehen möchte, ist die Tatsache, dass Kunden befürchten, dass ihre Unternehmensanmeldeinformationen jetzt so gespeichert sind, dass jemand mit Zugriff auf diese Schlüssel - entweder ich oder jemand im Entwicklungsteam - ihre Informationen entschlüsseln und Zugriff auf die Anmeldeinformationen erlangen kann .
Der Wert der App ist großartig - es spart jede Menge Zeit, aber wie kann ich vor dieser Angst schützen, während ich immer noch zulässt, dass dieser Ansatz funktioniert?
Ruft Ihr Server zu Hause an und übergibt die Anmeldeinformationen? Wenn nicht, sehe ich nicht, warum Kunden denken würden, dass Daten, die sie eingeben und auf ihrem Gerät speichern, für andere verfügbar sind. –
Die Anmeldeinformationen werden verschlüsselt in der von der Web-App verwendeten Datenbank gespeichert. Wenn eine E-Mail empfangen und verarbeitet wird, werden diese gespeicherten Anmeldeinformationen verwendet, um im Namen des Benutzers mit den WebEx- und Exchange-APIs zu arbeiten. –