סליקה - קשר - אבטחה

ש.ב.ח.

שלום וברכה
יש לי עבודה לאתר שאמור להתקשר עם הAPI של קשר

הבעיה בiframe של קשר
שהוא ניתן לשליטה על ידי הלקוח (אם ירצה)
הוא יוכל לשנות סכום וכו' (הם נותנים לאפשר disable על הסכום אבל כולנו יודעים מה זה שווה...)

מה שאני כן מעוניין
ליצור טופס שבסופו ישלח לאתר ובאתר אני אבצע את התתשלום עם הAPI שלהם

האם יש כאן בעיית אבטחה?
מה ניתן ומה לא לעשות?
מותר / אסור?

WWW

@ש-ב-ח אתה לא יכול לקבל בתגובה מקשר מה הסכום, ואם זה לא תקין פשוט תחזיר שגיאה?

ש.ב.ח.

@www
זה אפשרי אבל ברור שזה קורה אחרי התשלום
זה לא רע אבל חבל שכך

אשמח לתשובות בעניין האבטחה

WWW

@ש-ב-ח אמר בסליקה - קשר - אבטחה:

זה לא רע אבל חבל שכך

שילמד לקח...
חוץ מזה שכנראה אתה יכול לבטל את התשלום.

dovid

נשמע מהשאלה שהיא ספציפית לקשר,
בעצם נניח קשר היו מסכימים להגביל בצד שרת - התשלום לא יעבוד עם יהיה שינוי. איך זה היה עוזר לך?

ש.ב.ח.

@www אמר בסליקה - קשר - אבטחה:

חוץ מזה שכנראה אתה יכול לבטל את התשלום.

אתה מכיר את ההלצה:
"טראמפ ניסה לצאת מהבעיות שפוטין דאג לא להיכנס אליהם"

אבל אתה צודק שהוא ילמד לקח....

ש.ב.ח.

@dovid אמר בסליקה - קשר - אבטחה:

נשמע מהשאלה שהיא ספציפית לקשר,

אני לא יודע אם דווקא קשר
אבל אני מכיר את קארדקום, משולם, יעד
אני חושב שגם נדרים פלוס,
נותנים API שמחזיר דף ייחודי לעסקה ספציפית זו
במקרה זה הלקוח בכלל לא מתעסק עם הסכום וכו' הוא רק מזין נתוני אשראי,
אין לו גישה אפ' לא ויזואלית לקלט הסכום כי הוא כלל אינו בדף.
(הם שומרים את נתוני העסקה בשרת שלהם ויוצרים עבורו טוקן ייחודי שנשלח כחלק מהURL של הדף)