Bitcoin Forum
November 09, 2024, 05:10:59 AM *
News: Latest Bitcoin Core release: 28.0 [Torrent]
 
   Home   Help Search Login Register More  
Bitcoin Forum > Local > Deutsch (German) > Anfänger und Hilfe > Frage zur Sicherheit bei Nutzung einer API-Schnittstelle
Pages: [1]
« previous topic next topic »
  Print  
Author Topic: Frage zur Sicherheit bei Nutzung einer API-Schnittstelle  (Read 97 times)
CryptoMax66 (OP)
Newbie
*
Offline Offline

Activity: 9
Merit: 3


View Profile
March 10, 2024, 09:16:23 PM
Merited by Turbartuluk (1)
 #1
Hi. wie ist das wenn ich zum beispiel eine api schnittstelle für das cointracking benutze und dafür damit der drittanbieter die schnittstelle benutzen kann dessen ip auf die whitelist setze. kann er dann alles machen zum beispiel auch withdrawal falls nicht extra deaktiviert? was ist mit der zwei faktoor authentifizierung per e mail und google authentificator? ist das beides noch aktiv oder wird das umgangen?
Turbartuluk
Hero Member
*****
Online Online

Activity: 686
Merit: 1878


Enjoy 500% bonus + 70 FS


View Profile
March 10, 2024, 10:08:55 PM
Merited by HeRetiK (1), virginorange (1)
 #2
Bei der Erstellung der API auf der Börse musst du die Berechtigungen vergeben. Bei vielen Börsen kann man eine "Tax report API" auswählen, die nur "Lesezugriff" hat.

Withdrawal Rechte sollte man einer API nie zugestehen, die man für Drittanbieter einrichtet, denn ja damit können automatisiert (d.h. ohne manuelles 2FA) Abbuchungen vorgenommen werden.
Selbst Trading Rechte (für Trading Bots) sollt man bei API mit Vorsicht genießen. Ende 2022 gabs z.B. bei 3Commas einen Hack, wo dann Shitcoins mit niedriger Liquidität mit Kundenaccounts gepumped wurden, um sie dann mit dem Konto des Hackers wieder zu dumpen und somit die Konten der 3Commas Nutzer durch Tradingverluste sukzessive leer zu ziehen, obwohl die selbstredend withdrawal nicht erlaubt hatten. Trading APIs sollten also auch mit einer Whitelist für die Trading Pairs hinterlegt sein.

Wenn es Nur um den Steuerreport geht, dann ist das durch die sehr eingeschränkten Rechte eher unproblematisch, ich würde aber auch hier das Risiko durch zeitliche Exposition begrenzen, sprich keinen dauerhaften API zugriff sondern nur einmalig zum Upload der Trading Historie in die Steuersoftware und danach die API auf der Börse wieder deaktivieren.

 
 

█████████████████████████▄▄▄
████████████████████████▐███▌
█████████████████████████▀▀▀
██▄▄██▄████████████████████████▄███▄
▐██████▐█▌████▌███▌▐███▐███▀▀████▌
▀▀███▌██▌▐████▌▐████████▌███▌██████▌
██▐██████████████████▐███▐██████▐███
█████▌████████▐██████████▌███▌██████▌
███▀▀████▀▀████▀▀▀█████▀▀███▀▀█████▀▀


▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
|
▄▄█████████████████▄▄
███████████████████████
██████████▀▀▀▀▀██████████
███████▀░▄█████▄░▀███████
██████░▄█▀░░▄░░▀█▄░██████
█████░██░░▄███▄░░██░█████
█████░██░███████░██░█████
█████░██░░▀▀█▀▀░░██░█████
██████░▀█▄░▀▀▀░▄█▀░██████
███████▄░▀█████▀░▄███████
██████████▄▄▄▄▄██████████
███████████████████████
▀▀█████████████████▀▀
 
LICENSED CRYPTO
CASINO & SPORTS
|
▄▄█████████████████▄▄
███████████████████████
█████████████████████████
███████████████▀▀████████
███████████▀▀█████▐█████
███████▀▀████▄▄▀█████████
█████▄▄██▄▄██▀████▐██████
███████████▀█████████████
██████████▄▄███▐███████
███████████████▄████████
█████████████████████████
███████████████████████
▀▀█████████████████▀▀
 
TELEGRAM
APP		|
..WELCOME BONUS..
500% + 70 FS
 
.
..PLAY NOW..
CryptoMax66 (OP)
Newbie
*
Offline Offline

Activity: 9
Merit: 3


View Profile
March 19, 2024, 12:01:39 PM
 #3
Quote from: Turbartuluk on March 10, 2024, 10:08:55 PM
Damit können automatisiert (d.h. ohne manuelles 2FA) Abbuchungen vorgenommen werden.

Was meinst du damit? Ist 2FA überhaupt aktiv über API oder kann jeder mit den API daten abbuchen wenn ich withdrawal rechte vergebe?
Turbartuluk
Hero Member
*****
Online Online

Activity: 686
Merit: 1878


Enjoy 500% bonus + 70 FS


View Profile
March 19, 2024, 12:36:33 PM
 #4
Quote from: CryptoMax66 on March 19, 2024, 12:01:39 PM
Quote from: Turbartuluk on March 10, 2024, 10:08:55 PM
Damit können automatisiert (d.h. ohne manuelles 2FA) Abbuchungen vorgenommen werden.

Was meinst du damit? Ist 2FA überhaupt aktiv über API oder kann jeder mit den API daten abbuchen wenn ich withdrawal rechte vergebe?

Letzteres.
Man kann ja über z.B. über tradingsview auch selber Strategien automatisieren und trades via API setzen.
2FA gibt's da nicht, macht für automatisierung ja auch keinen Sinn.... Wenn withdrawal rechte vergeben sind gilt da das gleiche...

█████████████████████████▄▄▄
████████████████████████▐███▌
█████████████████████████▀▀▀
██▄▄██▄████████████████████████▄███▄
▐██████▐█▌████▌███▌▐███▐███▀▀████▌
▀▀███▌██▌▐████▌▐████████▌███▌██████▌
██▐██████████████████▐███▐██████▐███
█████▌████████▐██████████▌███▌██████▌
███▀▀████▀▀████▀▀▀█████▀▀███▀▀█████▀▀


▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀▀
|
▄▄█████████████████▄▄
███████████████████████
██████████▀▀▀▀▀██████████
███████▀░▄█████▄░▀███████
██████░▄█▀░░▄░░▀█▄░██████
█████░██░░▄███▄░░██░█████
█████░██░███████░██░█████
█████░██░░▀▀█▀▀░░██░█████
██████░▀█▄░▀▀▀░▄█▀░██████
███████▄░▀█████▀░▄███████
██████████▄▄▄▄▄██████████
███████████████████████
▀▀█████████████████▀▀
 
LICENSED CRYPTO
CASINO & SPORTS
|
▄▄█████████████████▄▄
███████████████████████
█████████████████████████
███████████████▀▀████████
███████████▀▀█████▐█████
███████▀▀████▄▄▀█████████
█████▄▄██▄▄██▀████▐██████
███████████▀█████████████
██████████▄▄███▐███████
███████████████▄████████
█████████████████████████
███████████████████████
▀▀█████████████████▀▀
 
TELEGRAM
APP		|
..WELCOME BONUS..
500% + 70 FS
 
.
..PLAY NOW..
Pages: [1]
  Print  
Bitcoin Forum > Local > Deutsch (German) > Anfänger und Hilfe > Frage zur Sicherheit bei Nutzung einer API-Schnittstelle
 « previous topic next topic »
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!