KT
Например, если бы была защита с помощью подписывания запросов приватным ключом, то логично предположить, что яндекс будет хранить этот ключ согласно определённым стандартам.
Size: a a a
2019 February 25
KT
А url, который я вбил в админке навыка будет храниться непонятно где.
KT
И непонятно кто, будет иметь к нему доступ.
🚀
а почему это должна быть охраняемая информация?
🚀
адреса сервисов свободно лежат в открытом доступе, той же ЕСИА например
KT
Telegram, например, при использовании web hook, заставляет разработчика заливать свой серт, с помощью которого telegram будет шифровать (вроде бы) свои запросы к api бота
СА
А url, который я вбил в админке навыка будет храниться непонятно где.
совершенно не важно кто завладеет вашим url
KT
Почему яндекс не хочет сделать на уровне telegram - не ясно
🚀
то что нет привязки к аккаунту на яндексе это вот плохо да
т.е. accountid какой-то в запросах на вебхук сильно бы улучших ситуацию
как и возможность получить по нему контекст - город, геолокацию, погоду, поисковые предпочтения
т.е. accountid какой-то в запросах на вебхук сильно бы улучших ситуацию
как и возможность получить по нему контекст - город, геолокацию, погоду, поисковые предпочтения
СА
навык вне зависимости от того, можем мы доверять запросу или нет, должен проверять id пользователя
KT
совершенно не важно кто завладеет вашим url
как же, вот коллеги выше предлагают url в качестве секрета использовать
🚀
Почему яндекс не хочет сделать на уровне telegram - не ясно
таки а что там на уровне телеграм? только userid более постоянный
KT
навык вне зависимости от того, можем мы доверять запросу или нет, должен проверять id пользователя
пожалуйста, злоумышленник можете месяцами перебирать id
СА
пожалуйста, злоумышленник можете месяцами перебирать id
ему не хватит и сотни лет чтобы его подобрать
KT
таки а что там на уровне телеграм? только userid более постоянный
прочитайте на 5 сообщений выше
KT
KT
ему не хватит и сотни лет чтобы его подобрать
как повезёт
KT
допустим нам нужен высокий уровень защиты
KT
финансовый сервис, платежи позволяет совершать
🚀
Telegram, например, при использовании web hook, заставляет разработчика заливать свой серт, с помощью которого telegram будет шифровать (вроде бы) свои запросы к api бота
честно говоря не помню такого