[קישור לקובץ mp3] פודקאסט מספר 446 של רברס עם פלטפורמה - אורי ורן מארחים בסוף אוגוסט את אליעד מחברת noname לשיחה על APIs ועל איך לאבטח APIs ב-Web - ולא רק ב-Web.(אליעד) לא רק ב-Web - גם בין אפליקציות, השימוש ב-APIs ניהיה נרחב מאוד בזמן האחרון.(רן) מעולה - אז לפני שנדבר על APIs, נכיר קצת את אליעד - (אליעד) אז אני אליעד, כמו שאמרתם - אני בן 26, מתל אביב.עקרונית, רוב השנים עבדתי בתחום ה-IR - שזה Incident Responseשם’ בעצם - הגעת לאירוע, חקרת אותובדקת מה התוקף עשה ברשת - מאיפה הוא הגיע, באילו קבצים הוא נגעוממש פעלת בכובע של - הייתי אומר “בלש משטרתי” כזה - של עולם האינטרנט . . . (אורי) אני נתפסתי לרגע ל . . . “רוב החיים עבדתי ב . . .” - טוב - אתה חצי מהגיל שלי . . . .(אליעד) רוב החיים שלי . . . (רן) אני דווקא הלכתי לכיוון שרלוק הולמס . . . (אליעד) כן . . . . אז זה בערך בחמש-שש השנים האחרונות, הייתי ב-Incident Response.לאחר מכן, רציתי לעשות טיפה שינוי בעבודה - והלכתי יותר לתחום המחקררציתי לחקור משהו שעכשיו מעניין - שעכשיו כולם משתמשים בווראיתי שכל התחום של ה-Cloud ו-APIs וכל הדברים האלה - זה באמת ניהיה הדבר-די-הכי-חם עכשיו: APIs התחילו לתפוס המון מקום עכשיו בחיים שלנובין אפליקציות, בין אפליקציות ל-DB-ים, בין Cleint-ים לשרתים - הכל עכשיו עובר בעזרת API-ים.והעולם הזה ניהיה מאוד מעניין - והתחלתי  . . . ואז נכנסתי לצוות המחקר בחברת nonameוהחברה - המטרה שלה זה לעשות API Security, כשהמוצר נותן לך שלושה דברים:אחד זה ויזיביליות (Visibility) על ה-API-ים שלך - איזה API-ים יש לך, מה הסכמות (Scheme) שלהם, איפה יש אות’נטיקציות (Authentications) - כל הדברים האלה.שזה עולם די מבולגן - בדר”כ, אם היית מגיע ל-CISO-ים של חברות או דברים כאלה, והיית אומר לו “תגיד, כמה API-ים יש לך?” - הוא לא יודע, הוא לא בטוח בזה.“באיזה מהם עוברים כרטיסי אשראי?” או “באילו אות’נטיקציות (Authentications)?” - דברים כאלה - “אני לא יודע” . . . .כל העולם הזה מאוד מבולגן, ובעצם מה שהמערכת עושה בהתחלה זה להביא לך ויזיביליות (Visibility) כלשהי על כל ה-API-ים שלך.בנוסף לזה . . . (רן) אנחנו מדברים על APIs שפונים החוצה? - נגיד, בהקשר של כרטיס אשראי לדוגמא - או שאתה גם מדבר על כל מה שקורה “בפנוכו”?(אליעד) אז גם “בבפנוכו” - כל שימוש ב-API-ים, גם אם נגיד בשימוש הכי מוכר ורחב שזה מתכנת שבונה איזו אפליקצית-Web כלשהי ואנשים ניגשים אליה דרך הדפדפן או דרך הטלפון שלהם, ואז בעצם יש כל מיני API-ים שמחזירים לך מידע שהאפליקציה מבקשת או שהדפדפן מבקש.ואז זה מוצג על המסך, בשביל המשתמש.אז זה ה-API-ים הכי מוכרים . . . (רן) בסדר . . . בכל מקרה, אנחנו מדברים על “Over-the-Network”, נכון? לא מדברים על דברים פנימיים, שקורים בתוך ה-Process?(אליע