Sergey Gilfanov Опубликовано 11 марта, 2019 · Жалоба 3 минуты назад, kpv сказал: чота какая-то каша началась :) при колбэка сертификат сбербанка вообще нигде не проверяется. Ну и, спрашивается, зачем нужно делать самоделку с shared secret, реализацией вычисления хеша итд ип, если все необходимое уже в https встроено в виде авторизации по клиентскому сертификату? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 11 марта, 2019 · Жалоба 6 минут назад, kpv сказал: при колбэка сертификат сбербанка вообще нигде не проверяется Действительно, с другой системой перепутал. 6 минут назад, kpv сказал: это как раз тот самый интерес злоумышленника И в чем он конкретно? Напакостить и дать людям на халяву один день попользоваться интернетом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kpv Опубликовано 11 марта, 2019 · Жалоба Just now, Sergey Gilfanov said: зачем нужно делать самоделку с shared secret раньше так было принято :) да и сейчас требование публичного CA в ssl - это лишь упрощение(и как следствии удешевление) при массовом обслуживании клиентов. ЯндексКасса может и по обычному http передавать данные :) 5 minutes ago, alibek said: Напакостить и дать людям на халяву один день попользоваться интернетом? Киса, вы мелко мыслите (с) мы разве только один интернет продаём через интернет? это ЯндексКасса Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ixi Опубликовано 11 марта, 2019 · Жалоба 1 час назад, alibek сказал: Во-первых, тут одного постороннего ключа мало, нужно еще и трафик перехватить, подменить dns/ip. Во-вторых, есть еще токен (shared secret), без которого даже при наличии корректного сертификата транзакция не будет принята. Правда конкретно у Сбербанка токена кажется нет. В-третьих, тут отсутствует цель. Платежный шлюз только проверяет реквизиты транзакции и подтверждает или не подтверждает ее выполнение. Максимум что получится — это дезинформировать Сбербанк о том, что зачисление средств на указанный лицевой счет выполнено, хотя на самом деле оно не выполнено. Собственно, речь шла о компрометации HTTPS. Вы уже теряете этот слой защиты. Далее, всё зависит от реализации протокола -- от возможности передачи любых данных до просто возможности их просмотра. Сервисов, которые полностью шифруют запросы помимо https, очень мало. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ixi Опубликовано 11 марта, 2019 · Жалоба 59 минут назад, alibek сказал: И в чем он конкретно? Напакостить и дать людям на халяву один день попользоваться интернетом? Слить ваши данные. Что вы передаёте? Часто сторонним сервисам нужны емейлы/телефоны, тот же сбер просит адреса и фио (и мы с ними два месяца бодались, чтоб сократить их до "И***в Иван Иванович") Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 11 марта, 2019 · Жалоба 16 минут назад, ixi сказал: Что вы передаёте? OK или FAIL, более ничего. Адреса и ФИО мы не передаем. Впрочем я принял аргументы, что использование сертификата без проверки отпечатка (сертификата или CA) дает уязвимость к MITM. 16 минут назад, ixi сказал: и мы с ними два месяца бодались, чтоб сократить их до "И***в Иван Иванович" Есть у них такое, издержки развитой бюрократии в большой организации. Бюрократия побеждается бюрократией. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...