доработать API - добавить проверку проверку прав доступа пользователя
Актуально если вы:
- используете API бокса (а его используют почти все), т.е у вас есть хоть один "пользователь", логин и хеш которого "светится" где-то на сайте
- заботитесь о вашей информационной безопасности
Очень важная задача, с точки зрения сохранности данных.
На данный момент бокс не проверяет что можно отдавать в ответ на запрос, а что нельзя!
Ситуация:
- мы передали логин и хеш внешним разработчикамм, чтобы те встроили его на сайт и к нам в бокс загружали лиды
- т.е. этот ключ API нужен ТОЛЬКО для загрузки лидов
А теперь самое интересное:
кто-то каким-то чудным образом узнает/получает/перехватывает значения логина и хеша
заходит на сайт crm-onebox.com и берет из общедоступной базы знаний информацию о том, как писать запросы
пишет запрос на получение ВСЕХ контактов, ВСЕХ процессов, УДАЛЕНИЕ контактов, УДАЛЕНИЕ процессов и т.д. и выполняет их
в результате в один прекрасный момент может случится так, что бокс придется восстанавливать из резервной копии, но к тому времени данные все равно уже будут ПОХИЩЕНЫ.
Данную доработку разработчики оценили в 10 часов.
реализацию обещают сделать вот такую:
можем сделать, в виде настройки в системе
она будет проверять:
1. при создании доступ к БП
2. при редактировании - доступ к редактированию процесса
если доступа нет - ошибка
так как надо править все API по работе с заказами (в том числе и обновления статусов) - это 10 часов.
Давайте с помощью наших голосов поможем сделать бокс чуточку защищенней!
- используете API бокса (а его используют почти все), т.е у вас есть хоть один "пользователь", логин и хеш которого "светится" где-то на сайте
- заботитесь о вашей информационной безопасности
Очень важная задача, с точки зрения сохранности данных.
На данный момент бокс не проверяет что можно отдавать в ответ на запрос, а что нельзя!
Ситуация:
- мы передали логин и хеш внешним разработчикамм, чтобы те встроили его на сайт и к нам в бокс загружали лиды
- т.е. этот ключ API нужен ТОЛЬКО для загрузки лидов
А теперь самое интересное:
кто-то каким-то чудным образом узнает/получает/перехватывает значения логина и хеша
заходит на сайт crm-onebox.com и берет из общедоступной базы знаний информацию о том, как писать запросы
пишет запрос на получение ВСЕХ контактов, ВСЕХ процессов, УДАЛЕНИЕ контактов, УДАЛЕНИЕ процессов и т.д. и выполняет их
в результате в один прекрасный момент может случится так, что бокс придется восстанавливать из резервной копии, но к тому времени данные все равно уже будут ПОХИЩЕНЫ.
Данную доработку разработчики оценили в 10 часов.
реализацию обещают сделать вот такую:
можем сделать, в виде настройки в системе
она будет проверять:
1. при создании доступ к БП
2. при редактировании - доступ к редактированию процесса
если доступа нет - ошибка
так как надо править все API по работе с заказами (в том числе и обновления статусов) - это 10 часов.
Давайте с помощью наших голосов поможем сделать бокс чуточку защищенней!
Ответы:
Прошу сообщить планируется ли віполнение данной задачи.
Так же сообщаю, что на данной задаче отсутствует кнопка "проголосовать"
Так же сообщаю, что на данной задаче отсутствует кнопка "проголосовать"
28.05.2019, 13:56
Александр, на данный момент автор не может голосовать за свои лоты. Это сделано для того чтобы голосование было более объективным
02.09.2019, 18:35
данная задача актуальна. сможет ли кто-то подсказать по возможности ее реализации?
28.10.2020, 13:59
Пожалуйста, присоединяйтесь к диалогу. Если вам есть что сказать - пожалуйста, напишите комментарий. Для входа потребуется мобильный телефон и смс-код для идентификации.
Войти и написать комментарий
Copyright © OneBox 2024
