Para remover esta mensagem, entre em contato com a nossa equipe através do nosso servidor no Discord.
oleoessencial
Não serve para nada aqui neste cenário . Vou corrigir, me desculpe. Ele serve 30% de 50% considerando a metade da segurança.
Remover
Para remover esta mensagem, entre em contato com a nossa equipe através do nosso servidor no Discord.
rubenskuhl
Muito exagero dizer que não serve para nada. Toda redução de superfície de exposição é benéfica à segurança.
Remover
Para remover esta mensagem, entre em contato com a nossa equipe através do nosso servidor no Discord.
matheus_efi
Essa questão já foi levantada. Atualmente há uma trava e nenhuma chave que foi gerada fora da Gerencianet consegue ser utilizada em nosso ambiente. A issue principal é a utilização do webhook por terceiros que tem conta na Gerencianet.
Remover
Para remover esta mensagem, entre em contato com a nossa equipe através do nosso servidor no Discord.
oleoessencial
O caso é com o mTLS, não com o certificado em si. É com a validação do handshake entre o utilizador e a GN para dar autorização deles apertarem as mãos e dizer, entre querido eu te conheço viu, como posso te ajudar?
Remover
Para remover esta mensagem, entre em contato com a nossa equipe através do nosso servidor no Discord.
ezequielsp
Se eu mudar o webhook da tua conta, apenas a nova url vai receber notificação.. então não serve para nada...
Agora se eu pegar sua url e enviar uma notificação de RECEBIDO, você deve consultar...
Sem um certificado, qualquer um poderia fazer um for com getTxID() e enviar notificação..
Com o certificado, qualquer um que já tenha o certificado...
Remover
Para remover esta mensagem, entre em contato com a nossa equipe através do nosso servidor no Discord.
rubenskuhl
Esses outros são correntistas da GN que passaram pelo KYC... então no mínimo é possível responsabilizá-los. Mas é claro que seria melhor a GN travar a autorização, e eu apontei lá algumas maneiras de se fazer isso.
Remover
Para remover esta mensagem, entre em contato com a nossa equipe através do nosso servidor no Discord.
oleoessencial
Exato, Rubens, e estes outros podem estar em qualquer lugar do mundo 🙂
Remover
Para remover esta mensagem, entre em contato com a nossa equipe através do nosso servidor no Discord.
rubenskuhl
O mTLS garante que veio da Gerencianet, não de qualquer lugar do mundo. O que esse issue alerta é que é possível hoje fazer a Gerencianet fazer chamadas para o webhook a pedido de outros.
Remover
Para remover esta mensagem, entre em contato com a nossa equipe através do nosso servidor no Discord.
oleoessencial
Sim, e estar em um ambiente super seguro com o mTLS, bem pelo menos ele deveria ser...
Remover
Para remover esta mensagem, entre em contato com a nossa equipe através do nosso servidor no Discord.
ezequielsp
para registrar um webhook você deve passar o acess token..
Remover
Para remover esta mensagem, entre em contato com a nossa equipe através do nosso servidor no Discord.
oleoessencial
Não entendi, cartão de crédito ? Mais o canal aqui é PIX.
Remover
Para remover esta mensagem, entre em contato com a nossa equipe através do nosso servidor no Discord.
ezequielsp
sim, se eu tiver os dados do seu cartão de crédito posso comprar...
Remover
Para remover esta mensagem, entre em contato com a nossa equipe através do nosso servidor no Discord.
oleoessencial
Os dois, basta ter os dados, não faz diferença, quem vai validar a conversa é o mTLS, e ainda não sei para que ele serve.
Remover
Para remover esta mensagem, entre em contato com a nossa equipe através do nosso servidor no Discord.
ezequielsp
você diz consultar sua url de retorno, não alterar ela?
Remover
Para remover esta mensagem, entre em contato com a nossa equipe através do nosso servidor no Discord.
oleoessencial
Claro que não, qualquer um com minha url, meu certificado pode mudar o retorno do webhook e mandar status de "RECEBIDA", isso é o de menos, kkkkk
Remover
Para remover esta mensagem, entre em contato com a nossa equipe através do nosso servidor no Discord.
ezequielsp
se eu alterar a url de retorno, meu sistema não vai aprovar a transação..
Remover
Para remover esta mensagem, entre em contato com a nossa equipe através do nosso servidor no Discord.
ezequielsp
Isso não importa..
Remover
Para remover esta mensagem, entre em contato com a nossa equipe através do nosso servidor no Discord.
oleoessencial
Tenho, pois existe a vulnerabilidade de registro da url do retorno de webhook !
Remover
Para remover esta mensagem, entre em contato com a nossa equipe através do nosso servidor no Discord.
ezequielsp
Correto, kkkk mas você ainda não tem certeza que é insegura?
Remover
Para remover esta mensagem, entre em contato com a nossa equipe através do nosso servidor no Discord.
oleoessencial
Então no cenário atual, posso receber notificações de qualquer lugar via url cadastrada , não acreditar nelas e ainda ter que efetuar uma consulta para ter certeza que o notificação esta insegura , correto ?