Bonjour à tous,
Lors de la création d'un token avec https://www.ovh.com/auth/api/createToken comment réduire les permissions :
POST /domain/zone/mondomaine.com/record
DELETE /domain/zone/mondomaine.com/record/
Je voudrais un token uniquement pour manipuler les DNS d'un sous-domaine ( toto.mondomaine.com) et uniquement pour des records TXT si possible
Les permissions ci-dessus autorise la création / suppression de records DNS pour tout le domaine. C'est beaucoup trop permissif.
Merci de votre aide.
PS: navré si ce message n'est pas posté dans la bonne catégorie. Je n'en n'ai pas trouvé de parfaitement adaptée.
Règles de sécurité pour Token API
Related questions
- Gateway SSL et HSTS
18243 
11.10.2016 21:57
- Entrée A 213.186.33.5
16192 05.10.2021 14:25
- Création d'un fichier .htaccess
15553 28.05.2019 13:47
- SSL GATEWAY HTTPS - Error 503 : Unknow domain
14418 05.01.2017 08:10
- SSL sans hebergement web
12245 16.11.2016 17:46
- Error 503 avec Prestashop
11929 06.01.2017 13:30
- Paramétrage SSL Gateway
11806 13.12.2018 10:51
- Accès aux WebService de Prestashop en HTTPS via C#
11799 02.06.2018 09:12
- Err_ssl_protocol_error urgent !
11026 21.11.2017 12:32
- Redirection HTTPS , erreur 302 et perte SESSION php
10814 20.09.2017 09:10
Bonjour,
Sauf si je dis une bêtise, il n'est pas possible d'aller plus bas que le domaine car un sous-domaine est une entrée DNS.
Cordialement, janus57
Merci @janus57
OVH pourrait proposer des règles de permission basées sur d'autres critères : type de record (TXT, ...), regex valide sur le nom du record, ...
Y a-t-il ces possibilités ?
Je trouve sinon les règles de sécurité assez faible.
Non il n'y a pas.
(et honnêtement parlant, je pense que vous ne devez rien espérer, ni d'OVH ni d'un concurrent.)
Ou bien vous devez créer votre propre serveur DNS et son secondaire pour le sous-domaine (avec enregistrements NS vers vos serveurs à vous, etc)
Bonjour,
ce que vous demander comme autorisation et beaucoup trop fin, une zone DNS étant une zone DNS, si vous voulez filtrer au niveau du record il va falloir faire votre propre interface qui va faire le filtrage.
Cordialement, janus57
Merci de vos retours.
Si OVH nous lit, je trouve cela néanmoins dommage. Un simple certbot pour le renouvellement des certificats wildcard demande donc une API key en mesure de tout faire sur les zones DNS du domaine. Si mon serveur applicatif est compromis avec un accès à l'API Key, le hacker pourra modifier à sa guise les DNS de mon domaine (gestion emails, sous-domaine, ...)
Bonne journée à vous
Bonjour,
comme chez n'importe quel fournisseur de DNS..
Si vous avez tellement peur que ça, ne fait pas une validation DNS mais une validation HTTP.
Note : si votre serveur applicatif est compromis vous allez avoir de plus gros problème que l'accès à des clé API qui seront plus facile a révoquer que de récupérer les données volées par le pirate.
Cordialement, janus57