Herkese merhaba,

Öncelikle programlama ve başlıkta geçen konularda pek iyi değilim. Öğrene öğrene...

Şimdi sorum şu:

Bir Rest APIgeliştiriyorum. Hatta epey yazdım bir şeyler.

Bu API ye, çeşitli etki alanlarından isteklerde bulunacak.

Bu noktada araştırdıkça öğrendim ki ( Open ID, oAuth2 vb. Protokoller mevcut )

Not: Bu protokolleri kullanmak istenmiyorum... sebebi ve detaylarına girmiyeceğim.

Sonra HTTP Auth metodları olduğunu fark ettim. Bu noktada bilgileri header de hashleyerek gönderiyoruz.

İyi tamam güzel, sonra okudukça çeşitli açıkları olduğunu öğrendim.

Bunlardan birtanesi de sunucuya gönderilen istekleri izlemek vs. Vs.

Ondan sonra aklıma ( yıllardır kullandığımız ) login metodları geldi.

Klasik : Kullanıcı Adını ve Şifresini form da doldurur ve ajax ile bu bilgiler post edilir.

Sonra düşündüm ki, madem rest api de bu kadar sorun çıkıyor da bizim login.php ye istekte bulubduğumuz ve kullanıcı bilgilerinin kabak gibi açık olduğu sorgularda neden sorun çıkmıyordu?

Yani demek istediğim superonline(.)net e girin. Giriş kısmından rasgele bilgileri doldurun. ID ve PW u bildiğimiz ajax ile post ediyor.

Şimdi bu superonline SSL kullanmıyor olsaydı, kullanıcı bilgileri hacklenebilir mi olacaktı?

Varsayalım ki öyle, o zaman form'u post etmek yerine: bilgileri get metodu ile taşısaydık ve backend de olup bitseydi her şey: yani sorguyu backend de yapsaydık gene de aynı açığı vermiş mi olacaktık?