J'utilise cURL pour appeler une API via HTTPS. En supposant que l'API est sécurisée et que la connexion HTTPS le soit également, un simple appel cURL serait-il sécurisé ou dois-je modifier les paramètres cURL pour le sécuriser ou ne pas utiliser cURL?Les appels cURL sont-ils sécurisés via HTTPS?
La sécurité est très importante dans ce projet.
curl effectue HTTPS de manière sécurisée par défaut. Assurez-vous simplement NE PAS désactiver la vérification de certificat avec CURLOPT_SSL_VERIFYPEER ou CURLOPT_SSL_VERIFYHOST.
Ils ne spécifient rien dans les docs sur la façon de faire quelque chose de plus pour la sécurité (https://curl.haxx.se/docs/httpscripting.html - Chapitre 10 - HTTPS).
En cas d'utilisation de certificats, vous devez utiliser une commande comme ceci:
boucle --cert mycert.pem https://secure.example.com
sécurisé de quoi? HTTPS va sécuriser l'appel de l'interception - "l'homme au milieu" - les attaques. Il ne vous sauvera pas du mauvais code (comme ne pas échapper/encoder les paramètres soumis par l'utilisateur qui pourraient être transmis en tant que données avec la requête cURL) ou de quelqu'un lisant votre code et trouver les clés de l'API. – ceejayoz
Ok, donc j'ai eu trois downvotes. Il serait utile d'obtenir des commentaires à ce sujet. Je pose des questions pour apprendre, je ne suis pas un expert en sécurité. De toute façon, Daniel Stenberg semblait avoir répondu à ma question. Je vous remercie! – Z0q
Je ne suis pas l'un des downvoters, mais je l'ai considéré en raison de la nature générale de la question. Ce n'est vraiment responsable que d'un examen attentif du code - il y a beaucoup, beaucoup de pièges de sécurité potentiels dans la réalisation de requêtes HTTP externes. – ceejayoz