С любым интерфейсом и текущими тарифами не понимаю зачем обычному земному человеку использовать яндекс деньги? Пополнение и снятие с процентами.
В том же сб**е виртуальная карта 60р в год.Снятие, пополнение бесплатно.
Уязвимость существует если специально при десериализации задано Settings.TypeNameHandling <> TypeNameHandling.None
и нет проверки типов?
Если так, то это стоило и бы уточнить, потому что по умолчанию значение None.
(Из-за заголовка я сделал другой вывод)
Если симка выпускается по доверенности, то операторам следует сделать запрет на получение всех смс и звонков в течение часа, например. (Что может создать другие проблемы)
Изменение этой настройки должно быть с большой задержкой и так же уведомлением.
У некоторых операторов можно запретить действия (перевыпуск) по доверенности.
По-хорошему оператор должен впаривать это так же, как и платные услуги.
Условия:
Авторизации как таковой у меня нет.
Я использую JWT, разумеется, чтобы не хранить у себя состояние, которое я не могу восстановить, если я его не храню или мне его не вернут.
Отдельного сервиса с ключом у меня тоже нет, можно считать, что каждый сервис хранит ключ у себя и вопрос взлома не стоит.
Использование:
Один раз я отдаю токен с данными клиенту, второй раз, если они его устраивают,
он мне возвращает токен, я проверяю время и подпись, затем применяю эти данные.
Вывод:
Не имея в наличие отдельного сервиса, который создавал бы токены, выгоды в RS256 я не вижу.(В моем случае)
HS256 vs RS256
Если на стороне клиента не требуется проверять подпись,
то что дает (в плане безопасности, скорости и т.д.) rs256?
Имеет ли смысл ограничиться HS512?
//https://github.com/dotnet/wcf/blob/master/src/System.Private.ServiceModel/src/System/ServiceModel/Channels/HttpChannelFactory.cs
//https://github.com/dotnet/wcf/blob/master/src/System.Private.ServiceModel/src/System/ServiceModel/Channels/HttpsChannelFactory.cs
//HttpChannelFactory
//...Тут установка некоторых параметров у clientHandler
var clientHandler = GetHttpClientHandler(to, clientCertificateToken);
//...Тут еще установка некоторых параметров у clientHandler
handler = _httpMessageHandlerFactory(clientHandler);
//Код выше будет прогнорирован в итоге.
_httpMessageHandlerFactory = handler => _httpHandler()
ААА. Сути это не меняет.
(Я говорил про конфиг для инициализации. Думаю брать напрямую из базы или через кеш со временем жизни(типа redis), если вдруг будет не доступен сервис с конфигами)
В любом случае, имея централизованный конфиг, его можно деплоить по тем же правилам, что и сам сервис, но отдельно от сервиса. Можно откатывать.
Очень удобно, если все это реализовать. Нужно ли — не знаю.
Может вы это и так уже делаете…
Аналогичные ощущения после прочтения статьи.
Схему автор не использовал.
Тоже думаю хранить конфиги централизовано. (Руки еще не дошли до прода)
Вот только вопросы с выбором формата и инструмента ( read\write) остаются.
Есть некая база, в ней хранятся зашифрованные сообщения, есть связь с ид пользователя. Их можно скрыть и восстановить обратно. К этой базе есть доступ у некоторых сотрудников.
Что тут неожиданного?
Зарегал как запасную карту, увидел в тарифе 2.5% пр оплате в иностранном магазине. AndroidPay не поодерживается и ApplePay видимо тоже. Мда… Тут явно без конкурса не обойтись
Описанное выше является временными плюсами или вообще таковыми не являются.
Несколько карт и кэшбэки и так сейчас есть у банков.
Насчет быстрой оплаты — тут есть здравое зерно,
Но, есть android\apple pay, со временем оплата на популярных сайтах и в мобильных приложениях станет в 1 клик. (я так думаю)
Не так.
Попытка получить хотя бы 1 идею не более чем за 10 т.р.
Не по теме.
Недавно задавал вопрос в поддержку через мобил приложение Яндексмани, зачем мне пользоваться их кошельком, у известных банков условия и так хороши и комиссий поменьше.
Ответа толкового не получил.
Тут тот же вопрос, для обычных людей КИВИ нужно?
1.
Набрал `бог все видит` в гугле. Первая же ссылка — `Ответы ****.Ru: ПРавда ли то, что Бог все видит?`
Ну что же, ответ для меня теперь не настолько и очевиден.
2.
Я стесняюсь спросить, канал для связи с Богом там есть (ссылка)?
До какого числа нужно успеть оплатить, чтобы иметь доступ к записям? (доступ личный, не корпоративный)
В том же сб**е виртуальная карта 60р в год.Снятие, пополнение бесплатно.
Поправьте, если не прав.
Уязвимость существует если специально при десериализации задано
Settings.TypeNameHandling <> TypeNameHandling.Noneи нет проверки типов?
Если так, то это стоило и бы уточнить, потому что по умолчанию значение None.
(Из-за заголовка я сделал другой вывод)
Если симка выпускается по доверенности, то операторам следует сделать запрет на получение всех смс и звонков в течение часа, например. (Что может создать другие проблемы)
Изменение этой настройки должно быть с большой задержкой и так же уведомлением.
У некоторых операторов можно запретить действия (перевыпуск) по доверенности.
По-хорошему оператор должен впаривать это так же, как и платные услуги.
Есть еще варианты перевыпуска симки?
У меня Stateless сервис, для этого мне и нужны JWT токены.
Насчет base64 — пока оставил в таком виде, чтобы не городить велосипеды.
Условия:
Авторизации как таковой у меня нет.
Я использую JWT, разумеется, чтобы не хранить у себя состояние, которое я не могу восстановить, если я его не храню или мне его не вернут.
Отдельного сервиса с ключом у меня тоже нет, можно считать, что каждый сервис хранит ключ у себя и вопрос взлома не стоит.
Использование:
Один раз я отдаю токен с данными клиенту, второй раз, если они его устраивают,
он мне возвращает токен, я проверяю время и подпись, затем применяю эти данные.
Вывод:
Не имея в наличие отдельного сервиса, который создавал бы токены, выгоды в RS256 я не вижу.(В моем случае)
Не совсем по теме вопрос.
HS256 vs RS256
Если на стороне клиента не требуется проверять подпись,
то что дает (в плане безопасности, скорости и т.д.) rs256?
Имеет ли смысл ограничиться HS512?
Спасибо.
true_engineering
А насколько все это безопасно ?
(Я говорил про конфиг для инициализации. Думаю брать напрямую из базы или через кеш со временем жизни(типа redis), если вдруг будет не доступен сервис с конфигами)
В любом случае, имея централизованный конфиг, его можно деплоить по тем же правилам, что и сам сервис, но отдельно от сервиса. Можно откатывать.
Очень удобно, если все это реализовать. Нужно ли — не знаю.
Может вы это и так уже делаете…
Схему автор не использовал.
Тоже думаю хранить конфиги централизовано. (Руки еще не дошли до прода)
Вот только вопросы с выбором формата и инструмента ( read\write) остаются.
Что тут неожиданного?
Несколько карт и кэшбэки и так сейчас есть у банков.
Насчет быстрой оплаты — тут есть здравое зерно,
Но, есть android\apple pay, со временем оплата на популярных сайтах и в мобильных приложениях станет в 1 клик. (я так думаю)
Попытка получить хотя бы 1 идею не более чем за 10 т.р.
Не по теме.
Недавно задавал вопрос в поддержку через мобил приложение Яндексмани, зачем мне пользоваться их кошельком, у известных банков условия и так хороши и комиссий поменьше.
Ответа толкового не получил.
Тут тот же вопрос, для обычных людей КИВИ нужно?
Набрал `бог все видит` в гугле. Первая же ссылка — `Ответы ****.Ru: ПРавда ли то, что Бог все видит?`
Ну что же, ответ для меня теперь не настолько и очевиден.
2.
Я стесняюсь спросить, канал для связи с Богом там есть (ссылка)?
п.с Против веры ничего не имею.