arrow_backAlle Begriffesecurity

Exposed API Keys

Exposed API Keys sind geheime Zugangsdaten, die versehentlich in öffentlich zugänglichem Frontend-Code (z.B. JavaScript-Bundles) enthalten sind, was unbefugten…

Auch verfügbar: In English

Exposed API Keys bezieht sich auf die kritische Sicherheitslücke, bei der geheime API-Schlüssel, Tokens oder andere sensible Zugangsdaten versehentlich direkt in öffentlich zugänglichen clientseitigen Code eingebettet werden, wie z. B. JavaScript-Bundles, mobile App-Binärdateien oder statische HTML-Dateien. Da Frontend-Code von jedem Benutzerbrowser heruntergeladen und ausgeführt wird, werden alle darin enthaltenen Geheimnisse sofort für jeden sichtbar, der den Quellcode oder die Netzwerkanfragen inspiziert.

Die Gefahr von Exposed API Keys ist immens. Angreifer können diese Schlüssel leicht extrahieren und sie verwenden, um:

  • Auf Dienste Dritter (z. B. Zahlungs-Gateways, Kartendienste, Cloud-Speicher) unter deinem Konto zuzugreifen und diese zu missbrauchen, was zu unerwarteten Kosten führen kann.
  • Unbefugten Zugriff auf deine Backend-APIs oder Datenbanken zu erhalten, was potenziell zu Datenlecks oder Manipulation führen kann.
  • Deine Anwendung oder Benutzer zu imitieren.
  • API-Ratenlimits zu erschöpfen, was zu einem Denial of Service für legitime Benutzer führt.

Wenn du beispielsweise einen Google Maps API-Schlüssel mit aktivierter Abrechnung direkt in das JavaScript-Bundle deiner React-App fest codierst, könnte ein Angreifer ihn extrahieren und für seine eigenen Anfragen mit hohem Volumen verwenden, was dich Geld kosten würde. Ähnlich könnte ein API-Schlüssel für einen sensiblen Backend-Dienst Datendiebstahl ermöglichen.

Um Exposed API Keys zu verhindern, solltest du:

  • Sensible Schlüssel niemals direkt in Frontend-Code einbetten.
  • Backend-Proxies verwenden, um API-Aufrufe zu tätigen, wobei der eigentliche geheime Schlüssel sicher auf dem Server gespeichert wird.
  • Umgebungsvariablen für serverseitige Anwendungen nutzen.
  • API-Schlüsselbeschränkungen (z. B. HTTP-Referrer-Beschränkungen, IP-Adressbeschränkungen) implementieren, wo immer möglich, obwohl diese keinen Ersatz dafür darstellen, Schlüssel geheim zu halten.
  • Regelmäßig deinen Code und deine bereitgestellten Assets auf versehentlich exponierte Geheimnisse überprüfen.

Verwandte Begriffe

Supabase Service Role Key
Der Supabase Service Role Key ist ein Admin-API-Schlüssel, der RLS umgeht. Er muss streng serverseitig bleiben und darf niemals Clients ausgesetzt werden.

Site auf alle diese Punkte prüfen?

Pantra scannt dich in 8 Sekunden. Gratis, ohne Anmeldung.

Jetzt scannenarrow_forward