Безопасно ли передавать в приложение client_id и secret в base64?

Question

[Денис]

Есть WP с custom endpoint в API. Приложение логинится через oAuth 2, получает токен и работает с данными, высылая в хедер каждого запроса токен.
У меня сомнения насчет того насколько это безопасно высылать в запросе на получение токена id и secret в заголовке, в base64?
Приложение на ionic и в теории, каждый может поснифать что оно отправляет, и достать мои данные для коннекта к API.
Я еще не знаю чем это грозит, но человек может так юзать моё API, а я этого не хочу.
Логин сделан как тут - https://wp-oauth.com/kb/user-credentials/
API на домене с SSL

Answer 1

[Labunsky]

base64 не является средством защиты информации

Answer 2

[АртемЪ]

У меня сомнения насчет того насколько это безопасно высылать в запросе на получение токена id и secret в заголовке, в base64?

Ваши сомнения беспочвенны, это полностью безопасно.

каждый может поснифать что оно отправляет, и достать мои данные для коннекта к API

Снифать может кто угодно, а вот расшифровать не получится, для этого собственно и шифруют.

Comments

[Nwton]

С каких пор base64 что-то шифрует?

[АртемЪ]

Nwton: Ни с каких, base64 это средство кодирования используется для передачи символов из другой кодовой таблицы.

[АртемЪ]

Nwton: Если вас по каким то причинам не устраивает base64 можете кодировать текст в utf8 или в unicode или придумать свою кодовую таблицу - разницы нет все равно это пойдет по зашифрованному каналу.

Answer 3

[Денис]

base64 не является средством защиты информации

Ваши сомнения беспочвенны, это полностью безопасно.

Снифать может кто угодно, а вот расшифровать не получится, для этого собственно и шифруют./blockquote>
Коллеги, вы меня запутали. Давайте вернемся к конкретному кейсу, есть приложение и есть сервер oAuth 2 где логин идет через высылку в хедере комбинации клиент айди и секрет в бейс 64. Чем мне это грозит?

Comments

[АртемЪ]

А чего там путать?
У вас соединение шифруется SSL - соответственно все что вы передаете внутри сообщения идет зашифрованным, поэтому можете спокойно и безопасно передавать текст в любой кодировке в том числе и в base64, можете даже картинки передавать, тоже безопасно.

[Labunsky]

Просто нужно знать, почему именно и в каких случая передавать безопасно, а в каких нет. Из формулировки вопроса следует, что интересует именно применение base64 в контексте безопасности. Так вот, на безопасность он никак не влияет, так как является средством представления (кодирования) информации, но не средством защиты. Что, в общем-то, не отменяет того факта, что передача может быть безопасна по ДРУГИМ причинам.

[Денис]

Артем: Можно ли вас попросить тогда ответить на вопрос, почему мне пора бы успокоится и доверять этому механизму авторизации? =) Я дело в том что не перестаю думать что получив пару клиент и секрет, API будет полностью компрометировано.

[Labunsky]

Денис: Так как API находится на домене с SSL, то (подозреваю), id и secret передается в заголовке https? Если так, то можно считать, что безопасно на всем пути передачи до клиентской машины, так как все заголовки шифруются.