Сообщение от Nexus
|
|
Если проект для «поиграться», то пофигу светится ли api-key или нет, если нет, то стоит скрыть api-key, например проксируя запросы своим сервером.
|
Ну там явно поиграться, но звоночек то неприятный, сам факт что так решил делать
|
Сообщение от Nexus
|
|
Если api-key жестко привязан к конкретному домену, то тут опять пофигу светится он в приложении или нет.
|
А как ихний сервер определит с какого домена и откуда этот запрос?
|
Сообщение от Nexus
|
|
Если у production окружения уведут api-key стороннего сервиса, который никак не защищен, то у злоумышленника появится возможность нарушить работу сервера жертвы, например, путем превышения всевозможных лимитов при работе с api.
|
Ну вот у меня мысли такие же, чтобы мне самому не регаться у них (вдруг это платно), спокойно взял посмотрел ключик у того веб мастера