docs icon indicating copy to clipboard operation
docs copied to clipboard

Published 20 hours ago verified publisher icon yandex-cloud

Выбран небезопасный способ передачи SERVER_KEY

Open sofieremi opened this issue 3 years ago • 4 comments
trafficstars

Ключ, токен и IP-адрес пользователя отправляются на проверку GET - запросом, что является очень небезопасным способом передачи секретной информации, так как она простым образом может быть скомпрометирована

def check_captcha(token): resp = requests.get( "https://captcha-api.yandex.ru/validate", { "secret": SMARTCAPTCHA_SERVER_KEY, "token": token, "ip": "<IP-адрес_пользователя>"
}

Этот пример вводит в заблуждение, так как метод POST лучше подходит для отправки данных, он более безопасный, обратите внимание на этот момент)

sofieremi avatar Oct 28 '22 14:10 sofieremi

Добрый день. Спасибо за замечание, взяли в работу.

kamkib avatar Nov 03 '22 14:11 kamkib

@kamkib допустим, и IP-адрес, и секрет от инстанса капчи — скомпрометировали.

И чего самого страшного можно с ними сделать? :)

antonydevanchi avatar Jan 06 '23 08:01 antonydevanchi

Почему POST более безопасен, чем GET? Кем могут быть скомпрометированы данные, передающиеся по https?

lxchurbakov avatar May 26 '23 11:05 lxchurbakov

@sofieremi Здравствуйте! Команда разработки рассмотрела ваше замечание и начала работу над этой задачей.

AlexJameson avatar Jun 02 '23 14:06 AlexJameson