EK
не сможет. данные привязаны к user_id, который злоумышленник подобрать не может.
Почему не сможет?
Size: a a a
2019 March 04
VP
Почему не сможет?
потому что это длинная случайная строка
P
Если это новый пользователь?
что тогда будет?
VP
Такое подписывание действительно имеет смысл например в вебе, когда сторонний сайт может сделать запрос с кукой авторизованного пользователя (= user_id). И для этого придуманы защиты типа csrf, cors итд. А в случае с навыком, если злоумышленник сможет заполучить каким-то образом user_id жертвы, тогда он уже и без вашего навыка сможет много чего заполучить.
EK
потому что это длинная случайная строка
Ну это если она совсем случайна, а если что-то наподобие ююида или монгоид - тогда нет.
EK
Там ведь достаточно случайно создаётся юид?
VP
Там ведь достаточно случайно создаётся юид?
Я думаю, что это секретная инфа)
P
так то и сертификат можно случайно подделать!
VP
для совсем параноиков можно в каждом запросе проверять, что переданный skill_id действительно ваш. Но имхо и это лишнее)
EK
Секьюрити бай обскурити - моветон.
А навык айди от всех юзеров одинаковый приходит?
А навык айди от всех юзеров одинаковый приходит?
СА
или сможет получать и обрабатывать данные , которые пользователь сообщает навыку
для перехвата данных от пользователя надо совершить mitm, либо узнать узнать user_id. да и то, во втором случае это будет не перехват, а просто несанкционированный доступ. хотя в любом случае, что первый, что второй вариант на практике нереален.
AZ
json валидный, 'version'=>'1.0' Возникает ошибка при отправке на модерацию. Может кто нибудь помочь разобраться?
{
····"problems"·:·[
········{
············"path"·:·"/version",
············"type"·:·"unsupported_version"
········}
····]
}
{
····"problems"·:·[
········{
············"path"·:·"/version",
············"type"·:·"unsupported_version"
········}
····]
}
ИЛ
для перехвата данных от пользователя надо совершить mitm, либо узнать узнать user_id. да и то, во втором случае это будет не перехват, а просто несанкционированный доступ. хотя в любом случае, что первый, что второй вариант на практике нереален.
А если пользователь первый раз взаимодействует с навыком ?
СА
А если пользователь первый раз взаимодействует с навыком ?
и? пусть себе взаимодействует. в чем вопрос то?
ИЛ
Откуда userid в таком случае
P
сгененрируется устройством и передастся. а вы сохраните в базе и привяжите ваши секретные данные навыка к нему впоследствии
P
или не устройством а уже на серверах алисы-навыков, кто уже знает откуда он берется технически.
СА
Pavel
или не устройством а уже на серверах алисы-навыков, кто уже знает откуда он берется технически.
опередили, хотел про это написать) все верно
ИЛ
Pavel
сгененрируется устройством и передастся. а вы сохраните в базе и привяжите ваши секретные данные навыка к нему впоследствии
Так вот куда передастся если я не знаю кто запрос отправил яндекс или злоумышленник
СА
Откуда userid в таком случае
а вы документацию почитали бы внимательно, и большинство вопросов отпало бы