סליקה - קשר - אבטחה
-
שלום וברכה
יש לי עבודה לאתר שאמור להתקשר עם הAPI של קשרהבעיה בiframe של קשר
שהוא ניתן לשליטה על ידי הלקוח (אם ירצה)
הוא יוכל לשנות סכום וכו' (הם נותנים לאפשר disable על הסכום אבל כולנו יודעים מה זה שווה...)מה שאני כן מעוניין
ליצור טופס שבסופו ישלח לאתר ובאתר אני אבצע את התתשלום עם הAPI שלהםהאם יש כאן בעיית אבטחה?
מה ניתן ומה לא לעשות?
מותר / אסור? -
שלום וברכה
יש לי עבודה לאתר שאמור להתקשר עם הAPI של קשרהבעיה בiframe של קשר
שהוא ניתן לשליטה על ידי הלקוח (אם ירצה)
הוא יוכל לשנות סכום וכו' (הם נותנים לאפשר disable על הסכום אבל כולנו יודעים מה זה שווה...)מה שאני כן מעוניין
ליצור טופס שבסופו ישלח לאתר ובאתר אני אבצע את התתשלום עם הAPI שלהםהאם יש כאן בעיית אבטחה?
מה ניתן ומה לא לעשות?
מותר / אסור? -
@www
זה אפשרי אבל ברור שזה קורה אחרי התשלום
זה לא רע אבל חבל שכךאשמח לתשובות בעניין האבטחה
@ש-ב-ח אמר בסליקה - קשר - אבטחה:
זה לא רע אבל חבל שכך
שילמד לקח...
חוץ מזה שכנראה אתה יכול לבטל את התשלום. -
@ש-ב-ח אמר בסליקה - קשר - אבטחה:
זה לא רע אבל חבל שכך
שילמד לקח...
חוץ מזה שכנראה אתה יכול לבטל את התשלום. -
@ש-ב-ח אמר בסליקה - קשר - אבטחה:
זה לא רע אבל חבל שכך
שילמד לקח...
חוץ מזה שכנראה אתה יכול לבטל את התשלום. -
נשמע מהשאלה שהיא ספציפית לקשר,
בעצם נניח קשר היו מסכימים להגביל בצד שרת - התשלום לא יעבוד עם יהיה שינוי. איך זה היה עוזר לך?@dovid אמר בסליקה - קשר - אבטחה:
נשמע מהשאלה שהיא ספציפית לקשר,
אני לא יודע אם דווקא קשר
אבל אני מכיר את קארדקום, משולם, יעד
אני חושב שגם נדרים פלוס,
נותנים API שמחזיר דף ייחודי לעסקה ספציפית זו
במקרה זה הלקוח בכלל לא מתעסק עם הסכום וכו' הוא רק מזין נתוני אשראי,
אין לו גישה אפ' לא ויזואלית לקלט הסכום כי הוא כלל אינו בדף.
(הם שומרים את נתוני העסקה בשרת שלהם ויוצרים עבורו טוקן ייחודי שנשלח כחלק מהURL של הדף)