Stripe Connect 账户 ID、客户 ID 安全问题
Stripe Connect account id, customer id security issues
我只是想知道是否可以让 Stripe 帐户 ID(用于 Connect)和客户 ID 在浏览器上可见。除了持有人以外,其他人是否可以通过获取 ID 进行滥用? (例如,将赚取的钱转移到他们的帐户或更改此人的信息作为攻击方法)
来自帐户 ID 的所有敏感信息都需要您的 Stripe 密钥(或帐户的密钥,对于 Connect 帐户)。话虽这么说,如果对这些密钥的访问受到损害,那么随时可用的帐户 ID 只会让攻击者更容易。
使用 public 键,我不确定您是否可以直接向用户添加卡。只需创建卡片标记即可。
我认为将 stripe accountIds 暴露给客户端是完全没问题的。正如其他人所说,除非攻击者获得您的密钥,否则这些 ID 对攻击者毫无用处。
其他答案认为暴露的 ID + 泄露的秘密使攻击者更容易。的确如此,但如果攻击者掌握了您的秘密,您就完蛋了。需要 1 个 GET 请求,才能列出所有 accountIds。
我认为 stripe 连接的帐户 ID 类似于电子邮件地址。电子邮件地址需要公开,以便人们向您发送电子邮件。如果他们想阅读您的电子邮件,他们需要您的登录名(例如密码)。
我只是想知道是否可以让 Stripe 帐户 ID(用于 Connect)和客户 ID 在浏览器上可见。除了持有人以外,其他人是否可以通过获取 ID 进行滥用? (例如,将赚取的钱转移到他们的帐户或更改此人的信息作为攻击方法)
来自帐户 ID 的所有敏感信息都需要您的 Stripe 密钥(或帐户的密钥,对于 Connect 帐户)。话虽这么说,如果对这些密钥的访问受到损害,那么随时可用的帐户 ID 只会让攻击者更容易。
使用 public 键,我不确定您是否可以直接向用户添加卡。只需创建卡片标记即可。
我认为将 stripe accountIds 暴露给客户端是完全没问题的。正如其他人所说,除非攻击者获得您的密钥,否则这些 ID 对攻击者毫无用处。
其他答案认为暴露的 ID + 泄露的秘密使攻击者更容易。的确如此,但如果攻击者掌握了您的秘密,您就完蛋了。需要 1 个 GET 请求,才能列出所有 accountIds。
我认为 stripe 连接的帐户 ID 类似于电子邮件地址。电子邮件地址需要公开,以便人们向您发送电子邮件。如果他们想阅读您的电子邮件,他们需要您的登录名(例如密码)。