I rischi delle API

di Chiara Basciano

31 Marzo 2017 11:00

Come gestire la mobile security quando si stanno sviluppando le app aziendali.

Sviluppare le application per interagire coi clienti è una strategia funzionante, ma i rischi connessi all’utilizzo delle API (Application Programming Interface) non mancano. L’azienda infatti rischia di veder intaccata la sicurezza dei dati.

=> Scopri le parole del cybercrime

Un’API ben progettata deve essere di facile utilizzo, la sua struttura interna deve essere semplice, in modo che ogni comando sia intuitivo, ma deve essere anche sicura. Secondo uno studio realizzato da Forrester gli attacchi all’API possono essere raggruppati in tre categorie.

=> Leggi la consapevolezza della sicurezza

I primi sono gli attacchi che sfruttano i dati inviati alle API, come url, parametri di query, contenuti pubblicati, che forniscono indicazioni preziose su come viene utilizzato un determinato parametro dall’applicazione stessa. I secondi attacchi sono incentrati sulle identità che sfruttano le vulnerabilità dei sistemi di autenticazione, autorizzazione e registrazione delle sessioni, così come la gestione stessa delle sessioni che, nelle API è molto più complessa rispetto al mondo del web.

=> Vai agli endpoint per la sicurezza

Infine gli attacchi che intercettano le transazioni legittime e sfruttano dati non crittografati: se l’API non utilizza correttamente il protocollo Ssl/Tls , tutte le richieste e le risposte tra un client e il server delle API possono venire potenzialmente compromesse. Gestire in totale sicurezza le app fa parte della mobile security aziendale e non va trascurato ogni minimo dettaglio, pena la non credibilità dell’azienda stessa. Il manager deve essere consapevole dei rischi e affidarsi ad esperti ma rimanendo sempre aggiornato in prima persona.

Fonte immagine Shutterstock