こんにちは皆さん!今日は私が理解するのにとても苦労したことについて話します:APIキーについてです。知らない方のために、APIキーとは基本的に、オンラインサービスにアクセスしようとする際にあなたやあなたのアプリケーションを識別するユニークなコードです。特別なパスワードのようなものですが、一つ大きな問題があります:間違った手に渡ったら、あなたは大変なことになります!信じてください、私はこれらのキーに対する不注意でお金を失った友人をたくさん見てきました。## API vs. チャイブ API: 違いを理解するまず第一に、API自体は、さまざまなアプリケーションが通信できるようにする仲介者にすぎません。暗号価格アプリが更新された値データを引き出すときのように。APIキーは、これらのデータにアクセスするための権限を証明するコードです。それは、単一の文字列またはそれらのセットである場合があります。大きな問題は、多くの人々がこれらのキーを通常のパスワードよりも注意を払わずに扱っていることで、これは狂気です!たとえば、市場データプラットフォームのAPIを使用したい場合は、APIキーが提供されます。このキーを使用すると、プラットフォームはアクセスしているのが私であることを認識し、私が見たり実行したりできることを制御できます。そして、これが私の最初の叱責です:この鍵を決して共有しないでください!キーが表示されているスクリーンショットを投稿している人を見たことがあります...それは実質的に、PINが書かれたカードを見知らぬ人に渡すことです!## 署名: 追加のセキュリティいくつかのAPIは、追加のセキュリティ層として暗号署名を使用しています。主に2つのタイプがあります:###対称キーデータの署名と検証の両方に同じキーを使用します。私の意見では、より速いですが、セキュリティは低いです。例としてHMACがあります。### 非対称キー異なる2つの鍵を使用します: ひとつはあなた専用の秘密鍵(で、もうひとつは公開鍵です。利点は、誰かがあなたの公開鍵を見ても、秘密鍵が必要な操作を行うことができないことです。これはRSAシステムのようなものです。個人的には、非対称の方が好きです。私が関わったプロジェクトが侵害されたとき、対称鍵に問題がありました。## APIキーの本当の危険性正直に言うと、APIキーはハッカーの常に狙われるターゲットです。私は人々が自分の暗号通貨をすべて失ったケースを見たことがあります。なぜなら、彼らのキーが盗まれたからです。最も恐ろしいのは、これらのキーのいくつかは自動的に期限切れにならないことです - だから、あなたが盗難に気づかなければ、攻撃者は長い間使用し続けることができるのです!後で泣いても意味がありません。あなたのコインが転送された場合、ほとんどの場合、回復することはできません。## APIキーを保護する方法投資をほぼ失いかけた後、)そう、これは私に起こったことです!(私はいくつかの厳格なルールに従うことにしました:1.私は定期的に、少なくとも30日ごとにキーを交換します。つまらないですか?しかし、お金を失うことははるかに悪いことです。2. 常にIP制限を設定します - 自分のIPアドレスのみが私のキーを使用できるようにしています。したがって、誰かがコードを盗んでも、別のコンピュータで使用することはできません。3. 特定の権限を持つ複数のキーを作成します - すべてに 1 つの "マスター" キーを使用することはありません。1 つのキーはデータの読み取り専用で、もう 1 つのキーは特定の操作専用です。4. 鍵は安全なマネージャーを使って保管します - 決してプレーンテキストファイルやパブリッククラウドには保管しません。5.私は自分の鍵を決して共有しません - 友人、パートナー、またはよく知らないサードパーティのアプリとは共有しません。もしあなたのキーが危険にさらされたら、直ちに無効にしてください!一秒が重要です。その後、すべてのスクリーンショットを撮って、警察の調査を開く必要がある場合の証拠を持っておくことが重要です)。ほとんど解決しないが、必要です(。結局、APIキーは家の鍵のようなもので、強力で危険です。非常に注意して使用し、常に疑いを持ってください!暗号の世界は不注意を許しません。
キーAPI:それは何であり、どのようにハッキングされずに使用するか
こんにちは皆さん!今日は私が理解するのにとても苦労したことについて話します:APIキーについてです。知らない方のために、APIキーとは基本的に、オンラインサービスにアクセスしようとする際にあなたやあなたのアプリケーションを識別するユニークなコードです。
特別なパスワードのようなものですが、一つ大きな問題があります:間違った手に渡ったら、あなたは大変なことになります!信じてください、私はこれらのキーに対する不注意でお金を失った友人をたくさん見てきました。
API vs. チャイブ API: 違いを理解する
まず第一に、API自体は、さまざまなアプリケーションが通信できるようにする仲介者にすぎません。暗号価格アプリが更新された値データを引き出すときのように。
APIキーは、これらのデータにアクセスするための権限を証明するコードです。それは、単一の文字列またはそれらのセットである場合があります。大きな問題は、多くの人々がこれらのキーを通常のパスワードよりも注意を払わずに扱っていることで、これは狂気です!
たとえば、市場データプラットフォームのAPIを使用したい場合は、APIキーが提供されます。このキーを使用すると、プラットフォームはアクセスしているのが私であることを認識し、私が見たり実行したりできることを制御できます。
そして、これが私の最初の叱責です:この鍵を決して共有しないでください!キーが表示されているスクリーンショットを投稿している人を見たことがあります...それは実質的に、PINが書かれたカードを見知らぬ人に渡すことです!
署名: 追加のセキュリティ
いくつかのAPIは、追加のセキュリティ層として暗号署名を使用しています。主に2つのタイプがあります:
###対称キー データの署名と検証の両方に同じキーを使用します。私の意見では、より速いですが、セキュリティは低いです。例としてHMACがあります。
非対称キー
異なる2つの鍵を使用します: ひとつはあなた専用の秘密鍵(で、もうひとつは公開鍵です。利点は、誰かがあなたの公開鍵を見ても、秘密鍵が必要な操作を行うことができないことです。これはRSAシステムのようなものです。
個人的には、非対称の方が好きです。私が関わったプロジェクトが侵害されたとき、対称鍵に問題がありました。
APIキーの本当の危険性
正直に言うと、APIキーはハッカーの常に狙われるターゲットです。私は人々が自分の暗号通貨をすべて失ったケースを見たことがあります。なぜなら、彼らのキーが盗まれたからです。最も恐ろしいのは、これらのキーのいくつかは自動的に期限切れにならないことです - だから、あなたが盗難に気づかなければ、攻撃者は長い間使用し続けることができるのです!
後で泣いても意味がありません。あなたのコインが転送された場合、ほとんどの場合、回復することはできません。
APIキーを保護する方法
投資をほぼ失いかけた後、)そう、これは私に起こったことです!(私はいくつかの厳格なルールに従うことにしました:
1.私は定期的に、少なくとも30日ごとにキーを交換します。つまらないですか?しかし、お金を失うことははるかに悪いことです。
常にIP制限を設定します - 自分のIPアドレスのみが私のキーを使用できるようにしています。したがって、誰かがコードを盗んでも、別のコンピュータで使用することはできません。
特定の権限を持つ複数のキーを作成します - すべてに 1 つの "マスター" キーを使用することはありません。1 つのキーはデータの読み取り専用で、もう 1 つのキーは特定の操作専用です。
鍵は安全なマネージャーを使って保管します - 決してプレーンテキストファイルやパブリッククラウドには保管しません。
5.私は自分の鍵を決して共有しません - 友人、パートナー、またはよく知らないサードパーティのアプリとは共有しません。
もしあなたのキーが危険にさらされたら、直ちに無効にしてください!一秒が重要です。その後、すべてのスクリーンショットを撮って、警察の調査を開く必要がある場合の証拠を持っておくことが重要です)。ほとんど解決しないが、必要です(。
結局、APIキーは家の鍵のようなもので、強力で危険です。非常に注意して使用し、常に疑いを持ってください!暗号の世界は不注意を許しません。