מה הדרישות אבטחה לסליקת אשראי באתר?

WWW

@clickone אמר במה הדרישות אבטחה לסליקת אשראי באתר?:

בפלאכארד למשל הם יכולים לעדכן לך את הטוקן אצלם מהכספת אוטומטית.

איך?
זה מאד יעזור לי!

nigun

אני משתמש בסליקת אשראי של יעד שריג
וכיוון שאין להם הגדרה בימות המשיח בניתי API בעצמי
הבעיה היא שהנתונים נשמרים בלוג של ההקשות בימות וכן נשמרים בלוג של הHTTP בשרת שלי
האם זה בעיה? האם יש מעלה בשימוש בPOST במקום GET?

dovid

@nigun מה זה קשור לנושא הקיים?
בטח שצריך בפוסט. get מיועד לגשת למידע, שאין לה השפעה של ממש על מקבל הבקשה.
בקשה שמטרתה שהמקבל "יעשה משהו" צריכה להיעשות בpost, ולמוסכמה הזו יש לזה כמה וכמה השלכות מעשיות (כמו זו שהזכרת).

nigun

@dovid
אצלי זה קשור אחד לשני כי פתחתי את האשכול הזה
בגלל אותו פרוייקט וזה עדיין ממשיך את השאלה של "איך מאבטחים סליקת אשראי"
אבל אם זה לא קשור אין לי בעיה לפתוח את זה בנושא חדש

לעניינו השאלה היא מה ההשלכות של השימוש בGET חוץ מזה שזה נרשם בלוג (האמת היא שגם POST ירשם אצלי בלוג של ימות כי אני מחזיר את ההקשה לימות כדי שיקריא ללקוח את הפרטים שהוא הקיש)

dovid

@nigun זה לא קשור. פעם הבאה תשתדל שיהיה נושא לכל נושא - זה מאוד טוב בשביל מי שקורא/מחפש.
ההשלכות שעולות לי בראש בשימוש בGET הם מטמון לאורך הרשת (לא רלוונטי במקרה שלך בגלל שאני מקוה שאתה עובד עם SSL-https), הגבלת גודל הURL (הפרמטרים מוגבלים באורכם), פגיעות להתקפה ע"י שתילת הכתובת בצד לקוח במגוון דרכים.
בכל מקרה מוסכמה צריך לכבד גם בלי השלכות כי יכולות להיוולד השלכות בעתיד, והסיבה היחידה להשתמש בGET זו עצלות.

nigun

@dovid
איזה בושות
לא השתמשתי בHTTPS
כמובן שעכשיו שיניתי לPOST ולHTTPS
אני מקווה שלא נוצר שום נזק מהטעות הזאת