0
Отвечен

Интеграция

Булат 2 недели назад обновлен Эльза Хайдарова 2 недели назад 1

Здравствуйте. Приемлемо ли делать интеграцию с вашим сервисом на фронте, если этот токен будет отправляться вместе с запросом и любой сможет его использовать? Почему некоторые решения предполагают такое взаимодействие, хотя токен светится пользователям ?

Ответ

Ответ
Отвечен

Здравствуйте, Булат.

Пока запросы инициируются из браузера пользователя, любую защиту можно обойти.

Привязка к IP-адресу при работе из браузера лишена смысла, потому что запросы идут с компьютеров конечных пользователей, и IP-адреса будут именно их (а их великое множество).

Проксирование через ваш собственный сервер точно так же не обезопасит, потому что злодей скопирует запрос с сайта и прекрасно будет слать его на ваш проксированный адрес. Вы можете проксировать с использованием CSRF-токена, но и это при желании можно обойти.

С воровством токенов за все годы работы Дадаты мы практически не сталкивались.

Есть 10 тыс бесплатных запросов, которых типичным злоумышленникам обычно хватает.

Но если будут подозрения — пишите, проверим.

Ответ
Отвечен

Здравствуйте, Булат.

Пока запросы инициируются из браузера пользователя, любую защиту можно обойти.

Привязка к IP-адресу при работе из браузера лишена смысла, потому что запросы идут с компьютеров конечных пользователей, и IP-адреса будут именно их (а их великое множество).

Проксирование через ваш собственный сервер точно так же не обезопасит, потому что злодей скопирует запрос с сайта и прекрасно будет слать его на ваш проксированный адрес. Вы можете проксировать с использованием CSRF-токена, но и это при желании можно обойти.

С воровством токенов за все годы работы Дадаты мы практически не сталкивались.

Есть 10 тыс бесплатных запросов, которых типичным злоумышленникам обычно хватает.

Но если будут подозрения — пишите, проверим.

Сервис поддержки клиентов работает на платформе UserEcho