Não serve para nada aqui neste cenário . Vou corrigir, me desculpe. Ele serve 30% de 50% considerando a metade da segurança.
Termos mais procurados:
Histórico de mensagens em pix
PROCURE NO HISTÓRICO
CANAIS DE TEXTO
DISCUSSÕES
- Conceito de Payload Locations no PIX
- Inserção automática do formato do Pix copia e cola pelo WhatsApp
- Autenticação com Certificado em NextJS
- Implementação da SDK do Pix em Next.js ou React
- Consulta de Chave PIX na API de Envio
- Cobrança em Período de Teste Grátis de 7 dias
- Configuração de URLs para Recebimento de Status
- Repetição do Processo de Criação com txid
- Acionamento de Webhooks em Pagamentos e Devoluções
- Implementação do Módulo Gerencianet no Perfex CRM
- Especificação da URL do Webhook no Exemplo Pix
- Recebimento de Pagamentos via QR Code e Arduino
- Problemas com Token em Ambiente de Homologação
- Teste de Status de Pagamento em Ambiente de Homologação
- Tempo Médio de Análise de Documentos na Abertura de Conta
- Integrações com o Laravel e SDK de PHP da EFI
- Atualização de informações no Retentiva de Cobrança
- Funcionamento do Webhook em Ambiente de Homologação
- Resolução de Delay nas Chamadas de Geração de QR Code e Pix em Node
- Geração de Link de Pagamento e Reembolso
- Utilização de Endpoints e Payload no Pix
- Interpretação do Campo 'Solicitação ao Pagador' no Webhook GN
- Notificações de Pagamento de Boleto e Pix
- Cancelamento de Boleto e Remoção do DDA
- Retenção de Pagamento no PIX em Marketplace
EXIBINDO CONVERSAS RECENTES:
Canal: pix
Muito exagero dizer que não serve para nada. Toda redução de superfície de exposição é benéfica à segurança.
Essa questão já foi levantada. Atualmente há uma trava e nenhuma chave que foi gerada fora da Gerencianet consegue ser utilizada em nosso ambiente. A issue principal é a utilização do webhook por terceiros que tem conta na Gerencianet.
O caso é com o mTLS, não com o certificado em si. É com a validação do handshake entre o utilizador e a GN para dar autorização deles apertarem as mãos e dizer, entre querido eu te conheço viu, como posso te ajudar?
Se eu mudar o webhook da tua conta, apenas a nova url vai receber notificação.. então não serve para nada...
Agora se eu pegar sua url e enviar uma notificação de RECEBIDO, você deve consultar...
Sem um certificado, qualquer um poderia fazer um for com getTxID() e enviar notificação..
Com o certificado, qualquer um que já tenha o certificado...
Esses outros são correntistas da GN que passaram pelo KYC... então no mínimo é possível responsabilizá-los. Mas é claro que seria melhor a GN travar a autorização, e eu apontei lá algumas maneiras de se fazer isso.
O mTLS garante que veio da Gerencianet, não de qualquer lugar do mundo. O que esse issue alerta é que é possível hoje fazer a Gerencianet fazer chamadas para o webhook a pedido de outros.
Sim, e estar em um ambiente super seguro com o mTLS, bem pelo menos ele deveria ser...
Os dois, basta ter os dados, não faz diferença, quem vai validar a conversa é o mTLS, e ainda não sei para que ele serve.
Claro que não, qualquer um com minha url, meu certificado pode mudar o retorno do webhook e mandar status de "RECEBIDA", isso é o de menos, kkkkk