Выбран небезопасный способ передачи SERVER_KEY #449
Labels
smartcaptcha
Yandex SmartCaptcha
Comments
|
Добрый день. Спасибо за замечание, взяли в работу. |
|
@kamkib допустим, и IP-адрес, и секрет от инстанса капчи — скомпрометировали. И чего самого страшного можно с ними сделать? :) |
|
Почему POST более безопасен, чем GET? Кем могут быть скомпрометированы данные, передающиеся по https? |
|
@sofieremi Здравствуйте! Команда разработки рассмотрела ваше замечание и начала работу над этой задачей. |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Ключ, токен и IP-адрес пользователя отправляются на проверку GET - запросом, что является очень небезопасным способом передачи секретной информации, так как она простым образом может быть скомпрометирована
def check_captcha(token):
resp = requests.get(
"https://captcha-api.yandex.ru/validate",
{
"secret": SMARTCAPTCHA_SERVER_KEY,
"token": token,
"ip": "<IP-адрес_пользователя>"
}
Этот пример вводит в заблуждение, так как метод POST лучше подходит для отправки данных, он более безопасный, обратите внимание на этот момент)
The text was updated successfully, but these errors were encountered: