mas o txid tem um conjunto bem definido de caracteres, não?
Termos mais procurados:
Histórico de mensagens em sugestões
PROCURE NO HISTÓRICO
CANAIS DE TEXTO
DISCUSSÕES
- Inserção automática do formato do Pix copia e cola pelo WhatsApp
- Conceito de Payload Locations no PIX
- Repetição do Processo de Criação com txid
- Configuração de URLs para Recebimento de Status
- Implementação do Módulo Gerencianet no Perfex CRM
- Consulta de Chave PIX na API de Envio
- Endpoint para Recuperar Saldo
- Problemas com Token em Ambiente de Homologação
- Implementação da SDK do Pix em Next.js ou React
- Recebimento de Pagamentos via QR Code e Arduino
- Interpretação do Campo 'Solicitação ao Pagador' no Webhook GN
- Atualização de informações no Retentiva de Cobrança
- Teste de Status de Pagamento em Ambiente de Homologação
- Tempo Médio de Análise de Documentos na Abertura de Conta
- Autenticação com Certificado em NextJS
- Utilização de Endpoints e Payload no Pix
- Integrações com o Laravel e SDK de PHP da EFI
- Cobrança em Período de Teste Grátis de 7 dias
- Geração de payment_token pelo Postman e teste em homologação
- Especificação da URL do Webhook no Exemplo Pix
- Retenção de Pagamento no PIX em Marketplace
- Resolução de Delay nas Chamadas de Geração de QR Code e Pix em Node
- Cancelamento de Boleto e Remoção do DDA
- Integração da API do Pix em Sistema Próprio
- Acionamento de Webhooks em Pagamentos e Devoluções
EXIBINDO CONVERSAS RECENTES:
Canal: sugestões
Mas em tempo: a idéia de tornar mais restritivo é super positiva. É sim um risco operacional ter quase uma máquina de Turing com uma fita qualquer para executar... 😉
<@!370847985199742977> pensamos nisso, mas ainda sim é muito inseguro, pois o problema possui 2 variáveis importantes: regex e txid. Testar a regex com uma amostragem aleatória de txids não nos trouxe segurança.
Ou múltiplos, ou se for um só, tem que separar por chaves. Dá para fazer dos dois jeitos.
<@!780500321994539068> é muito tranquilo aceitarmos vários "comecaCom" e varios "terminaCom". É uma ideia! Se atender seu caso de uso, fará sentido pra gente.
Não vi necessidade de serem múltiplos, pensei em ser um só. Porém, é possível aceitarmos múltiplos e aplicarmos OR ou AND entre eles, se vocês virem como positivo.
Os comecaCom/terminaCom/contem são múltiplos ? Ou seja, poderia ser:
"recebimento": {
"txid": {
"comecaCom": "gnPix",
"comecaCom": "BACEN",
"aceitarVazio": false
}
}
?
Eu acredito que resolveríamos com outra flag, <@!780500321994539068> , algo nesse sentido:
"recebimento": {
"txid": {
"contem": "gnPix",
"aceitarVazio": true
}
}
"txid": {
"contem": "gnPix",
"aceitarVazio": true
}
}
Como é um match de txid nulo nessa versão restrita ? Pq os casos de txid com regras de formação que tínhamos pensado se enquadram nas regras mais restritas (ou seja, atendem).
Boa tarde @everyone !
Retomando o assunto endpoint de configurações (https://www.notion.so/Endpoint-de-configura-es-0a97faee68f845ab96ec21551862fe6c).
Nosso time de engenharia observou que existem possíveis situações em que o match do regex com a string do txid pode demorar muitos segundos ou até minutos. Existem situações inclusive de crash da aplicação. Em outras palavras: não é seguro recebermos via input qualquer regex.
Um exemplo que vocês podem testar no browser:
let regexp = /^(\d+)$/;
let str = "012345678901234567890123456789z";
alert( regexp.test(str) );
let str = "012345678901234567890123456789z";
alert( regexp.test(str) );
O alert acima levará um longo tempo até que apareça. Imaginem isso no ato de recebimento de um Pix, no qual cada milisegundo é um fator determinante para um timeout inesperado.
A conclusão é que precisamos controlar melhor quais regex serão aceitas.
A proposta é, ao invés de receber um txidRegex, receber algo mais limitado que também atenda da mesma forma:
"recebimento": {
"txid": {
"comecaCom": "gnPix"
}
}
"recebimento": {
"txid": {
"terminaCom": "gnPix"
}
}
"recebimento": {
"txid": {
"contem": "gnPix"
}
}
"txid": {
"comecaCom": "gnPix"
}
}
"recebimento": {
"txid": {
"terminaCom": "gnPix"
}
}
"recebimento": {
"txid": {
"contem": "gnPix"
}
}
comecaCom/terminaCom/contem: a-zA-Z0-9{0,15} //caracteres aceitos
Gostaria de opinião de vocês em relação a essa nova proposta, bem como sugestões dentro dessa nova abordagem.
Para quem interessar, uma referência sobre o assunto regexp-catastophic-backtracking com mais detalhes.
https://javascript.info/regexp-catastrophic-backtracking
Esse primeiro deploy traz uma versão mais simples, na qual a Gerencianet resolve tudo. Isso atenderá a alguns perfis de clientes. Lembrando que nós não armazenamos a chave privada.
Mas a sugestão de aceitar um CSR é tão boa que já tá até no Roadmap, neste card: https://www.notion.so/Gera-o-de-certificados-API-Pix-a-partir-de-um-CSR-de6f5650a5d44ed092af81d6b830ed66
Foi colocado no sistema a geração de certificados, mas ela gera tanto a parte secreta quanto pública. O usual de CAs é que apenas o titular tenha a parte secreta, envia sua chave pública para a CA e essa assina a chave pública. Sugiro que seja alterado para usar um CSR e não gerar a chave.
