RB
Ну типа если с сервера прилетает - то так удобнее даже
Пушо клиент может провалидировать изи
Size: a a a
2021 March 26
MS
Можно ещё подписанные запросы делать
SHA256(SHA256(Value1 + Value2) + SALT)
такой подписи будет достаточно?
такой подписи будет достаточно?
RB
А ты можешь ротировать ключи
RB
Без боли
RB
А ты можешь ротировать ключи
^ну если вот это для тебя не проблема, то в целом да. Только тебе все query параметры нужны и key и value.
I
вот мамкины хакеры, я же скинул ссылку как используют, вместо SHA лучше HMAC-SHA
и еще желательно добавить время
и еще желательно добавить время
MS
Igor
вот мамкины хакеры, я же скинул ссылку как используют, вместо SHA лучше HMAC-SHA
и еще желательно добавить время
и еще желательно добавить время
понял, спасибо
MS
добавить время куда?
MS
типа время жизни ссылки?
I
типа время жизни ссылки?
да
β🎀
идея пришла такая
?Param1=Value1&Param2=Value2&nonce=SHA256(SHA256(Value1 + Value2) + SALT)
?Param1=Value1&Param2=Value2&nonce=SHA256(SHA256(Value1 + Value2) + SALT)
сохрани эти значения у себя локально, а отдавай какой-нибудь айдишник, когда к тебе придут с этим айдишником, достанешь данные
MS
сохрани эти значения у себя локально, а отдавай какой-нибудь айдишник, когда к тебе придут с этим айдишником, достанешь данные
такой возможности к сожалению, нет
β🎀
если у тебя ссылку отправляет один сервис, а ссылка ведет на другой, то ты на другом можешь сделать эндпоинт "сформировать ссылку"
AH
такой возможности к сожалению, нет
ты от митм защищаешься или от подмены серверных данных на клиенте?
если от митма, то обычного шифрования ключами хватит
Если от фрода со стороны клиента, то тебе правильно подсказывают про айдишники на сервере, потому что любые твои попытки чот сделать на клиенте уже провальны, т.к. ты уже отдал алгоритмы создания проверочного ключа на сторону злоумышленника
если от митма, то обычного шифрования ключами хватит
Если от фрода со стороны клиента, то тебе правильно подсказывают про айдишники на сервере, потому что любые твои попытки чот сделать на клиенте уже провальны, т.к. ты уже отдал алгоритмы создания проверочного ключа на сторону злоумышленника
MS
ты от митм защищаешься или от подмены серверных данных на клиенте?
если от митма, то обычного шифрования ключами хватит
Если от фрода со стороны клиента, то тебе правильно подсказывают про айдишники на сервере, потому что любые твои попытки чот сделать на клиенте уже провальны, т.к. ты уже отдал алгоритмы создания проверочного ключа на сторону злоумышленника
если от митма, то обычного шифрования ключами хватит
Если от фрода со стороны клиента, то тебе правильно подсказывают про айдишники на сервере, потому что любые твои попытки чот сделать на клиенте уже провальны, т.к. ты уже отдал алгоритмы создания проверочного ключа на сторону злоумышленника
от подмены данных в ссылке
алгоритм подписи будет только у тех кто создает и проверят эту подпись
алгоритм подписи будет только у тех кто создает и проверят эту подпись
AH
от подмены данных в ссылке
алгоритм подписи будет только у тех кто создает и проверят эту подпись
алгоритм подписи будет только у тех кто создает и проверят эту подпись
подмены кем?
MS
подмены кем?
человеком?
AH
человеком?
клиентом или меном ин зе мидл?
AH
мой вопрос выше он об этом
AH
ты от митм защищаешься или от подмены серверных данных на клиенте?