quarta-feira, 5 de fevereiro de 2020

Não deixe o "rabo para fora" em sua API REST


Vejo muitos desenvolvedores seguirem todas as restrições #REST deixando o "rabo Para fora". Expõem #APIs internas que deixam os dados do usuário vulneráveis. Cuidado com a #LGPD



Frameworks frontend, como: #Angular ou #React, permitem interação muito grande entre o usuário e o aplicativo. É comum vermos campos que se auto-preenchem, listas e combos que já vêm com muita coisa dentro e comportamento dinâmico em geral.
Só que essas coisas podem representar grandes riscos para os usuários, especialmente se não exigirem autenticação.
Qualquer um pode analisar o código javascript da sua página, mesmo "obfuscado", ou pode análisar o tráfego HTTP através do browser, e descobrir quais links você está acessando e quais parâmetros está utilizando. E não! SessionStorage não protege os dados!
Jamais mostre informações, como campos de auto preenchimento, sem que o usuário esteja devidamente autenticado.
Evite expor as APIs internas do seu #backend usando algo como um API Gateway.

Nenhum comentário:

Postar um comentário