СА
по моему вы сами себе придумали несуществующую проблему и героически пытаетесь ее решить 😊
Size: a a a
2019 February 25
ИЛ
да даже если был бы простой http - как прочитать то? надо иметь доступ в сеть по которой идут запросы, а от знания урла какой толк?
ну, а как яндекс читает запросы, которые пользователь в навык говорит? Что мешает тому, кто знает адрес хука прочитать эти запросы
СА
ну, а как яндекс читает запросы, которые пользователь в навык говорит? Что мешает тому, кто знает адрес хука прочитать эти запросы
яндекс сам делает запрос и читает ответ
ИЛ
я не яндекс, узнал хук, отправил запрос, прочитал ответ. Сервер не понял яндекс пришел или я
СА
чтобы перехватить данные пользователя, злоумышленнику надо перехватить трафик
СА
я не яндекс, узнал хук, отправил запрос, прочитал ответ. Сервер не понял яндекс пришел или я
зато ваш навык понял что пришли вы, а не тот пользователь
СА
по id пользователя разумеется
СА
вот пример такого ид. подберете? B5B7CDB24340FA3746B127C68C30B1B8A2D3F03F027E8501E310D774B606B944
ИЛ
да не) под "я" имею ввиду не пользователя а злоумышленника:
Злоумышленник (З)
З: узнал хук
З: отправил запрос - сервер думает что запрос от яндекса
З: прочитал ответ
Злоумышленник (З)
З: узнал хук
З: отправил запрос - сервер думает что запрос от яндекса
З: прочитал ответ
СА
да не) под "я" имею ввиду не пользователя а злоумышленника:
Злоумышленник (З)
З: узнал хук
З: отправил запрос - сервер думает что запрос от яндекса
З: прочитал ответ
Злоумышленник (З)
З: узнал хук
З: отправил запрос - сервер думает что запрос от яндекса
З: прочитал ответ
и что он интересного в ответе увидит?
СА
личные данные другого пользователя?
СА
если так, то у меня для вас плохие новости...
ИЛ
он увидит то, что пользователь сообщит навыку - а это конфиденциальная информация. При входе в навык наш сервак выдает токен, который может "многое", и вот чтобы токен не попал кому-то левому я и спрашиваю как можно уберечься от такого сценария
СА
все, я сдаюсь
ИЛ
пользователь сообщает навыку данные, которые позволяют третьему лицу (если попадут к нему) совершать манипуляции по видом пользователя
ИЛ
и пока мы не знаем кто точно отправил запрос хуку - не можем передать эти данные
GF
и пока мы не знаем кто точно отправил запрос хуку - не можем передать эти данные
Вы можете проверять userid и другие параметры которые приходят от яндекса. Почитайте документацию, там удобная структура
AF
Самое главное чтобы в будущем правила произношения такого набора символов не изменились. А то некрасиво может получится...
пока нет правил как это читать, она будет читать по своему. к бабке не ходи будет читать по другому со временем. кроме как периодическими тестами, думаю отловить это не удастся.