Ваша статья? Супер. Всегда считал что надо учиться управлять внутренней обезьяной не расплескав стакан с воле. Стакан с волей стоит полнехонький а я читаю оставшиеся из 100 вкладок :)
Наличные деньги non-custodial, как биткоин. Их нельзя забрать из кармана по клику. Деньги «на счету» это эфемерное обещание централизованной базы данных, из которой вас могут удалить и вам нечего с этим сделать. Поэтому как минимум у наличных есть преимущества в безопасности от изымания.
Пароли вообще не надо хешировать, из них надо дерайвить приватный ключ и им уже подписывать запросы. Отдавать пароль плейнтекстом на левый сервер пусть хоть яндекса — dead end.
Так не нужно никакое 2 факторное подтверждение и портить юзабилити, просто первый фактор надо сделать и перевести на него пользователей, без ухудшений экспириенса. Что им делать лень
Пожалуй единственная причина фрода это сама система карт в виде bearer token. 16 и еще пара цифр = доступ к счету, а должно быть карта = приватный ключ, транзакция = подпись(сумма, получатель). Что собственно и сделано в криптовалютах. Тогда и Verified by visa будут не нужны.
Казалось бы, сделай ты редирект на сайт банка, покажи сумму и детали транзакции, юзер нажмет ОК и пусть будет она подтвержденной.
Нет же, каждый раз пиши пароль (личный компьютер это же роскошь, вдруг ты в интернет кафе?) или получай смску (про простоту перехвата симки все знают). Нормальную архитектуру с цифр подписями сделать банкам лень, поэтому пусть за фрод платит вся база пользователей вскладчину. Почему так?
> Конечно, полезность Service Worker-ов на этом не ограничивается, с их помощью реализуются, например, offline-режим и backsync, – прим. переводчика)
офлайн отлично меня устраивал в эппкеше, not a douche bag. Background sync неплохо конечно, но каковы юз кейсы?
> (FCM = Firebase Cloud Messaging, но его использование не является обязательным в данном случае, – прим. переводчика)
я могу ошибаться, но для push notification FCM обязательный, или другой провайдер. Куда то же надо слать на общий сервер.
Я согласен что у эпкеша есть минусы. Но он работает и он прост. СВ — не поддерживается Эплом вообще (читай — нет смысла реализовывать), сделан очень замудрено (функцию push notification можно вообще было в отдельное API вынести, без того чтобы плодить SW для одной единственной цели). Плюс личные причины — я давно хочу офлайн приложения чтобы были подписаны публичным ключом/ами создателей, СВ это игнорирует.
Стрелять себе в ногу. Никто не будет менять валюту чтобы поймать мелкую сошку. Если только это не плановые облавы как в индии.
Выбор будет и собстно есть — блокчейн. Все что не на блокчейне а циферки в админа васи на сервере — в топку.
Достаточно подписать какую то строчку для логина «логин + таймштамп итд» и потом уже получить bearer token в куки.
А в чем разница между паролем от 3ds и банка? И вводить один раз при логине, а не всегда.
Сессия в интернет банке нужна, как и везде.
Нет же, каждый раз пиши пароль (личный компьютер это же роскошь, вдруг ты в интернет кафе?) или получай смску (про простоту перехвата симки все знают). Нормальную архитектуру с цифр подписями сделать банкам лень, поэтому пусть за фрод платит вся база пользователей вскладчину. Почему так?
> Конечно, полезность Service Worker-ов на этом не ограничивается, с их помощью реализуются, например, offline-режим и backsync, – прим. переводчика)
офлайн отлично меня устраивал в эппкеше, not a douche bag. Background sync неплохо конечно, но каковы юз кейсы?
> (FCM = Firebase Cloud Messaging, но его использование не является обязательным в данном случае, – прим. переводчика)
я могу ошибаться, но для push notification FCM обязательный, или другой провайдер. Куда то же надо слать на общий сервер.
Я согласен что у эпкеша есть минусы. Но он работает и он прост. СВ — не поддерживается Эплом вообще (читай — нет смысла реализовывать), сделан очень замудрено (функцию push notification можно вообще было в отдельное API вынести, без того чтобы плодить SW для одной единственной цели). Плюс личные причины — я давно хочу офлайн приложения чтобы были подписаны публичным ключом/ами создателей, СВ это игнорирует.
Крайне недоволен, по итогу.