- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах
Это на 45% больше, чем в 2022 году
Оксана Мамчуева
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Здравствуйте. Наверное вопрос глупый, но для чего может понадобиться проверка хэш значения в http уведомлении у яндекса?
Ведь хеш формируется же после оплаты? Например если на странице оплаты в адресной строке поменять сумму, например не 1000 руб что просят, а 10, затем обновить страницу и оплатить товар 10 рублями. Платеж пройдет, только продавец получит 10 рублей. Конечно в уведомлении можно проверить параметр withdraw_amount и если сума не соответствует нужной нечего не делать. Вот я и не могу понять на фига тогда нужна проверка sha1_hash...?
https://tech.yandex.ru/money/doc/dg/reference/notification-p2p-incoming-docpage/#notification-p2p-incoming__verify-notification
в целостности данных уведомления;
в том, что уведомление отправлено Яндекс.Деньгами.
https://tech.yandex.ru/money/doc/dg/reference/notification-p2p-incoming-docpage/#notification-p2p-incoming__verify-notification
Это я видел, но дело в том что уведомление формируется после оплаты, а не до, то есть на сайте и на странице оплаты ЯД можно можно изменить данные и уведомление будет сформировано с этими данными и подписи совпадут. Одно дело когда подпись формируется до оплаты платежа, а тут после. Вот от сюда и вопросы.
Вот от сюда и вопросы.
Злоумышленник не сможет прислать запрос якобы от имени яндекс-денег, что все оплачено, что непонятного-то?
Злоумышленник не сможет прислать запрос якобы от имени яндекс-денег, что все оплачено, что непонятного-то?
Я же написал, что не понятно. На странице оплаты Яндекса меняем значения и отправляем запрос и он будет засчитан, так как хэш формируется после оплаты, а не до. Для примера возьмите на странице оплаты измените сумму и нажмите оплатить, она пройдет, конечно на стороне сервера можно проверить правильная сумма была ведена, но тогда зачем этот хеш нужен?
Плина... пока писал, дошло. Это для того что бы на тот http адрес что отправляется уведомление, кто то не отправил свой запрос со своими данными, то есть это защита самого уведомления. Вот я тупень. :)
Мозг не принимал значение ключевой фразы:
:)