P
ну передаст злоумышленник свой ххххххххххххххххххххххх юзер ид и что?
Size: a a a
2019 March 04
P
пусть передает, вам то что с этого?
ИЛ
а вы документацию почитали бы внимательно, и большинство вопросов отпало бы
Ок, спасибо за дельный совет
P
(перед тем узнав ваш вебхук откуда-то)
СА
с этого и надо было начинать, потому как судя по вопросам, вы даже представляете механизм взаимодействия пользователя и вашего навыка
ИЛ
с этого и надо было начинать, потому как судя по вопросам, вы даже представляете механизм взаимодействия пользователя и вашего навыка
Ага
VP
Хотя знаете, я вот подумал, что такая защита все-таки может быть полезной. Если допустить ошибки на стороне яндекса. Мы доподлино не знаем, насколько секюрно хранятся user_id, и какое кол-во людей имеет к ним доступ. Возможно, сотрудник яндекса увольняясь из компании сдампит себе эту базу, и потом из дома начнет ходить в навык мой-любимый-банк с честными user-id. Проверка на то, что запрос действительно отправлен яндексом в данном случае очень поможет.
СА
Хотя знаете, я вот подумал, что такая защита все-таки может быть полезной. Если допустить ошибки на стороне яндекса. Мы доподлино не знаем, насколько секюрно хранятся user_id, и какое кол-во людей имеет к ним доступ. Возможно, сотрудник яндекса увольняясь из компании сдампит себе эту базу, и потом из дома начнет ходить в навык мой-любимый-банк с честными user-id. Проверка на то, что запрос действительно отправлен яндексом в данном случае очень поможет.
что помешает сотруднику прихватить с собой и сертификат?
ИЛ
Хотя знаете, я вот подумал, что такая защита все-таки может быть полезной. Если допустить ошибки на стороне яндекса. Мы доподлино не знаем, насколько секюрно хранятся user_id, и какое кол-во людей имеет к ним доступ. Возможно, сотрудник яндекса увольняясь из компании сдампит себе эту базу, и потом из дома начнет ходить в навык мой-любимый-банк с честными user-id. Проверка на то, что запрос действительно отправлен яндексом в данном случае очень поможет.
вот вы сейчас очень горячо от того что я делаю
ИЛ
речь про банковский продукт в навыке, где любая возможность получить данные пользователя - критична
GF
что помешает сотруднику прихватить с собой и сертификат?
++ хотя сертификаты обычно хранятся более секьюрно и его можно принудительно обновить
EK
Можно менять адрес хука добавляя туда авторизацию
СА
речь про банковский продукт в навыке, где любая возможность получить данные пользователя - критична
вам прошлый раз скидывали цитаты из eula
ИЛ
Можно менять адрес хука добавляя туда авторизацию
а еще добавить второй фактор - это уже сделано и работает=) не релизится из-за безопасности
СА
используя алису, вы добровольно продаете свою душу яндексу)
СА
более того, там открытым текстом написано, что данные могут быть переданы третьим лицам. а вы про сотрудников говорите...
ИЛ
используя алису, вы добровольно продаете свою душу яндексу)
не нашел там, что данные пользователя уходят налево и направо. Если это так - стоит закрывать проект
ИЛ
не нашел там, что данные пользователя уходят налево и направо. Если это так - стоит закрывать проект
я про АЛису - зачем эта дыра для данных? колыбельные слушать и в поле чудес играть?
СА
не нашел там, что данные пользователя уходят налево и направо. Если это так - стоит закрывать проект
в смысле не нашли? вам прямо нужные цитаты здесь приводили
СА
пункт 3.13, что касается ВАШИХ данных