Je lance un site qui est une implémentation d'une solution propriétaire d'hébergement + cms. Cette solution offre une API bien doc'd avec laquelle j'ai eu l'interface de plusieurs programmeurs contractés afin de construire des extensions personnalisées de la fonctionnalité du site. En tant que tel, j'ai dû partager plusieurs fois mes clés API. Les méthodes appelées par l'API peuvent fonctionner sur la base de données de plusieurs manières. Ainsi, partager les clés avec un trop grand nombre de personnes présente un risque de sécurité que j'essaie d'éviter, mais je n'ai même pas encore commencé à atteindre le stade où je peux me permettre d'engager un développeur à plein temps. Ainsi, je continuerai à devoir partager des clés pour un peu plus longtemps.Doit-on/peut-on changer ses clés d'API publique et privée sur une base régulière à des fins de sécurité?
En tant que tel, comment pourrais-je limiter autant que possible mes risques? Je sais que partager avec le moins de gens possible est la réponse évidente, et je le ferai autant que possible.
Mais en plus de cette solution, comment les autres sites/administrateurs s'y prennent-ils?
Je vous remercie pour la perspicacité, mais je suis en ce moment plus préoccupé par le fait que je dois donner mes clés aux entrepreneurs (un mal nécessaire, je suppose) et donc le nombre d'utilisateurs qui pourraient exécuter XML-RPC malveillant les appels vers ma base de données augmentent (lentement). Je ne m'attends à aucun mal de la part de ces gens très probablement, mais comme je suis nouveau à tout cela - se demandait si quelqu'un avait un aperçu sur les mesures appropriées à prendre. – user444835
@ user444835 changez toutes vos clés et mots de passe dès que possible. Si le comportement ne vous bloque pas, vous devrez peut-être payer un expert en sécurité pour dépister le problème. – rook