Sichere eingehende Medien

Die Messages API bietet Unternehmen jetzt die Möglichkeit, die Sicherheit für den Schutz von Mediendateien zu erhöhen, die ihnen von ihren Endbenutzern gesendet werden. Beispiele für Mediendateien von Endbenutzern sind Bilder, Videos und PDFs. Je nach Anwendungsfall können diese sensible Bilder oder Informationen enthalten, die Unternehmen und ihre Kunden schützen möchten.

Standard vs. Erweiterte Sicherheit eingehender Medien

Standard

Eingehende Mediendateien werden mit einer eindeutigen URL auf unsere zentralisierten Medienserver hochgeladen. Diese eindeutige URL ist 48 Stunden lang gültig, um dem Unternehmen Zeit zu geben, die Datei herunterzuladen. Dies kann einige kleinere Risiken mit sich bringen. Zum Beispiel:

  • Ein Brute-Force-Angriff könnte die URL aufdecken
  • Jeder, der im Besitz der URL ist, kann auf die Datei zugreifen, ohne dass er zusätzliche Zugangsdaten für seinen Account benötigt.

Erweitert

Mit der erweiterten Sicherheit für eingehende Medien können Unternehmen nur mit einem JWT (JSON Web Token) auf Mediendateien zugreifen, das mit ihren Account-Anmeldedaten generiert wurde. Durch die Aktivierung dieser Funktion wird eine zusätzliche Sicherheitsebene beim Zugriff auf Medien geschaffen. Um die Abwärtskompatibilität zu gewährleisten, haben wir diese Funktion optional gemacht.

Einrichten

Um darauf zugreifen zu können, müssen sie dies tun:

  1. Erstellen einer Vonage-Applikation
  2. Ihre Nummer mit der Anwendung verknüpfen
  3. Generierung eines JWT aus der Anwendung
  4. Aktivieren Sie die Nachrichtenfunktion und schalten Sie "Sichere eingehende Medien" ein.

Weitere Informationen über Applications finden Sie unter hier.

Zugriff auf gesicherte Medien

Wenn ein Endbenutzer eine Nachricht mit einer Mediendatei sendet, erhält das Unternehmen einen Rückruf mit einer URL zur Mediendatei. Der Zugriff auf die Medien erfordert eine GET Anfrage an die URL mit einer Authorization Header mit einem Wert, der als JWT festgelegt ist und mit der Anwendungs-ID und dem privaten Schlüssel generiert wurde, die mit derselben Vonage-Anwendung verknüpft sind, in der der Webhook, der die eingehende Nachricht empfangen hat, eingerichtet wurde.

Hier ist ein Beispiel für eine cURL-Anfrage mit dem Token:

curl --location --request GET 'https://api-us.nexmo.com/v3/media/1b456509-974c-458b-aafa-45fc48a4d976' \ --header 'Authorization: Bearer '$JWT

Wenn die Anfrage erfolgreich ist, erhalten Sie einen 200-Code und die Mediendatei. Wenn die Anfrage nicht erfolgreich ist, erhalten Sie eine unautorisierte Antwort.