Falta documentación sobre el HASH de seguridad y observaciones sobre la verificación lado servidor

[emilioastarita]

El hash de seguridad tiene una llamada pero no hay ninguna explicación de como se válida que la notificación de estado sobre notifyUrl sea realmente proveniente de Banwire.

La documentación tal como está no menciona que este proceso es necesario lo que alienta a que los programadores que estén implementando la API basándose en esta documentación no tengan en consideración esta comprobación desde el lado servidor necesaria.

El resto de los eventos success JS son útiles pero no son suficiente para comprobar el proceso de compra ya que son fácilmente spoofeables por el cliente (al igual que la notifyUrl).

Se debería alentar a una verificación desde el lado servidor y explicar el método de verificación posible.

Así mismo debería existir una URL para iniciar la verificación desde el lado servidor (no solo recibir lo cambios de estado), por si al momento del POST de Banwire hacia el servidor, este último está caído. Si la llamada es recurrente hasta que el servidor conteste positivamente debería documentarse.

[Xquizo]

Totalmente de acuerdo, implementar Banwire sin hash sería un suicidio en seguridad informática, no quiero pensar cuántos sitios actualmente no lo usan y tienen pagos fantasmas, si aún no los tienen es porque Banwire aún no es tan conocido, de entrada a mi me parece que la url que recibe los eventos ni siquiera debería estar expuesta del lado del cliente, debería introducirse en un panel.

[benrivero]

Alguien esta viendo estos comentarios del lado de banwire? Estoy recomendando a clientes el NO usar esta API debido a estos y muchos otros detalles.

[hcastrejon]

Hola, con gusto podemos resolver sus dudas en soporte@banwire.com
 
Estamos abiertos a los comentarios que tenga, y con gusto daremos mayores detalles en el API.
 
Quedo al pendiente de tus comentarios.
 
¡Saludos!
-----Original Message-----From: "benrivero" notifications@github.comSent: Monday, 17 October, 2016 14:30To: "banwire/api-js" api-js@noreply.github.comSubject: Re: [banwire/api-js] Falta documentación sobre el HASH de seguridad y observaciones sobre la verificación lado servidor (#4)

Alguien esta viendo estos comentarios del lado de banwire? Estoy recomendando a clientes el NO usar esta API debido a estos y muchos otros detalles.
—You are receiving this because you are subscribed to this thread.Reply to this email directly, view it on GitHub, or mute the thread.

 
¡Saludos!

 

 

*_El contenido y archivos adjuntos del presente correo electrónico son de carácter confidencial y solamente podrá ser utilizado por la persona o entidad a quien va dirigido. Si usted no es el destinatario de este correo o lo ha recibido por error, favor de responder al remitente y borrar la copia recibida. Adicionalmente se prohíbe su uso, reproducción, retransmisión ó divulgación no autorizada, parcial o total, de su contenido.
 
El presente correo no constituye propuesta o acuerdo de ningún tipo, hasta ser confirmado en documento por escrito por el representante legal de la empresa.
 
*_The content and attachments of the present e-mail is considered confidential information and can only be used by the person or entity to whom it was intended for. If you are not the recipient or have received it by error, please respond to the sender and permanently delete this message. It is prohibited to use, reproduce, transmit or make public, partially or totally, the content of the present communication.
This e-mail does not constitute any kind of proposal or agreement, until it is confirmed by a written document signed by the company’s legal representative.

 

[benrivero]

Abrí un nuevo issue hace unos minutos, este issue igual esta abierto, creo que el objetivo de manejarlo por acá es que quede documentado el como resolver los problemas. Por email puede funcionar pero es un proceso mas tardado y que solo beneficiaría a un usuario.

Use hace tiempo su formulario de contacto en el sitio pero no obtuve respuesta.

[emilioastarita]

@benrivero hasta que no solucionen este issue y lo dejen explicito en la documentación pública te recomiendo no usar banwire y no recomendarlo a tus clientes, porque estás expuesto a problemas de seguridad.
slds.

[hcastrejon]

Hola, gracias por la observación. Este issue está arreglado en público ya que el hash y la instrucción se dan una vez queda el comercio activo, por lo que no hay problema al usarlo. Sin embargto estaremos trabajando para en los siguientes días liberar esta documentación en el sitio de Git.
 
¡Saludos!
-----Original Message-----From: "Emilio Astarita" notifications@github.comSent: Tuesday, 18 October, 2016 03:21To: "banwire/api-js" api-js@noreply.github.comCc: "Hugo Castrejón" hcastrejon@banwire.com, "Comment" comment@noreply.github.comSubject: Re: [banwire/api-js] Falta documentación sobre el HASH de seguridad y observaciones sobre la verificación lado servidor (#4)

@benrivero hasta que no solucionen este issue y lo dejen explicito en la documentación pública te recomiendo no usar banwire y no recomendarlo a tus clientes, porque estás expuesto a problemas de seguridad. slds.
—You are receiving this because you commented.Reply to this email directly, view it on GitHub, or mute the thread.

 
¡Saludos!

 

 

*_El contenido y archivos adjuntos del presente correo electrónico son de carácter confidencial y solamente podrá ser utilizado por la persona o entidad a quien va dirigido. Si usted no es el destinatario de este correo o lo ha recibido por error, favor de responder al remitente y borrar la copia recibida. Adicionalmente se prohíbe su uso, reproducción, retransmisión ó divulgación no autorizada, parcial o total, de su contenido.
 
El presente correo no constituye propuesta o acuerdo de ningún tipo, hasta ser confirmado en documento por escrito por el representante legal de la empresa.
 
*_The content and attachments of the present e-mail is considered confidential information and can only be used by the person or entity to whom it was intended for. If you are not the recipient or have received it by error, please respond to the sender and permanently delete this message. It is prohibited to use, reproduce, transmit or make public, partially or totally, the content of the present communication.
This e-mail does not constitute any kind of proposal or agreement, until it is confirmed by a written document signed by the company’s legal representative.

 

[hcastrejon]

Hola a todos, les comparto el documento con el hash de seguridad. El parámetro API Secret es el que se comparte una vez que tengan contrato con BanWire, esto para que su modo de prueba no interfiera con la validación.
 
¡Saludos!
-----Original Message-----From: "Emilio Astarita" notifications@github.comSent: Tuesday, 18 October, 2016 03:21To: "banwire/api-js" api-js@noreply.github.comCc: "Hugo Castrejón" hcastrejon@banwire.com, "Comment" comment@noreply.github.comSubject: Re: [banwire/api-js] Falta documentación sobre el HASH de seguridad y observaciones sobre la verificación lado servidor (#4)

@benrivero hasta que no solucionen este issue y lo dejen explicito en la documentación pública te recomiendo no usar banwire y no recomendarlo a tus clientes, porque estás expuesto a problemas de seguridad. slds.
—You are receiving this because you commented.Reply to this email directly, view it on GitHub, or mute the thread.

 
¡Saludos!

 

 

*_El contenido y archivos adjuntos del presente correo electrónico son de carácter confidencial y solamente podrá ser utilizado por la persona o entidad a quien va dirigido. Si usted no es el destinatario de este correo o lo ha recibido por error, favor de responder al remitente y borrar la copia recibida. Adicionalmente se prohíbe su uso, reproducción, retransmisión ó divulgación no autorizada, parcial o total, de su contenido.
 
El presente correo no constituye propuesta o acuerdo de ningún tipo, hasta ser confirmado en documento por escrito por el representante legal de la empresa.
 
*_The content and attachments of the present e-mail is considered confidential information and can only be used by the person or entity to whom it was intended for. If you are not the recipient or have received it by error, please respond to the sender and permanently delete this message. It is prohibited to use, reproduce, transmit or make public, partially or totally, the content of the present communication.
This e-mail does not constitute any kind of proposal or agreement, until it is confirmed by a written document signed by the company’s legal representative.

 

[hcastrejon]

Hola Ben, te comparto la documentación del Has, el API secret se comparte una vez hemos realizado el contrato.
 
¡Saludos!
-----Original Message-----From: "benrivero" notifications@github.comSent: Monday, 17 October, 2016 15:07To: "banwire/api-js" api-js@noreply.github.comCc: "Hugo Castrejón" hcastrejon@banwire.com, "Comment" comment@noreply.github.comSubject: Re: [banwire/api-js] Falta documentación sobre el HASH de seguridad y observaciones sobre la verificación lado servidor (#4)

Abrí un nuevo issue hace unos minutos, este issue igual esta abierto, creo que el objetivo de manejarlo por acá es que quede documentado el como resolver los problemas. Por email puede funcionar pero es un proceso mas tardado y que solo beneficiaría a un usuario.
Use hace tiempo su formulario de contacto en el sitio pero no obtuve respuesta.
—You are receiving this because you commented.Reply to this email directly, view it on GitHub, or mute the thread.

 
¡Saludos!

 

 

*_El contenido y archivos adjuntos del presente correo electrónico son de carácter confidencial y solamente podrá ser utilizado por la persona o entidad a quien va dirigido. Si usted no es el destinatario de este correo o lo ha recibido por error, favor de responder al remitente y borrar la copia recibida. Adicionalmente se prohíbe su uso, reproducción, retransmisión ó divulgación no autorizada, parcial o total, de su contenido.
 
El presente correo no constituye propuesta o acuerdo de ningún tipo, hasta ser confirmado en documento por escrito por el representante legal de la empresa.
 
*_The content and attachments of the present e-mail is considered confidential information and can only be used by the person or entity to whom it was intended for. If you are not the recipient or have received it by error, please respond to the sender and permanently delete this message. It is prohibited to use, reproduce, transmit or make public, partially or totally, the content of the present communication.
This e-mail does not constitute any kind of proposal or agreement, until it is confirmed by a written document signed by the company’s legal representative.