LR-Keeper в мобильном!

Получается, что телефон отправляет по незащищенному каналу api имя и пароль на Ваш сервер, где с них формируется запрос? Слава Богу, я не пользовался этой прогой!

а настройки API зачем? Выбери только баланс и иторию....прога отличная, Fialka -респект...

Вот-вот...
Liberty в этом плане (в плане защищенности автоматического интерфейса) - на голову выше других платежных систем...
Настраивай API под себя как угодно...
И что толку что кто-то узнает Ваши API name и пароль к нему - разве что смогут баланс Ваш смотреть да историю...

Я просто в шоке... Вместо того, чтобы сказать спасибо человеку за то, что он потратил свое время, чтобы нам всем было легче, люди просто гадят в душу разработчику порой даже не понимая всей сути программы.
Имейте (в переносном значении) совесть, если нечего посоветовать и нечего сказать приятного, промолчите и пропустите тему.
Fialka, спасибо за Ваш труд и время. Ждем новых возможностей программы.

Fialka
Вам хочу сказать одно - не обращайте внимания на таких "высказывателей".
Стараешься, пишешь программу, разбираешься со всеми тонкостями и ньюансами, тратишь свое личное время - и тут на тебе - вместо Спасибо...
Ну вот почему народ у нас такой ???
Ну не хочешь пользоваться, не доверяешь никому - не качай, не устанавливай и не пользуйся...
Тут скорее всего срабатывает другой принцип - "раз программа бесплатная - значит чего-то в ней не то, и она ворует все что может уворовать"

На мой взгляд нечего волноваться. Творения Fialk'и и Senator2 очень удобны. Как правильно заметил Senator2 потеря пароля от API, в настройках которого разрешено только проверка баланса и истории никак мне не навредит (если на то пошло, почти всю мою историю платежей можно выудить из публичных форумов )

Кроме того, существует золотое правило: если боитесь потерять информацию, к которой имеют доступ ЛЮБЫЕ программы, просто ими не пользуйтесь (это касается, в частности, и киперов паролей, и браузеров)! Думаю, что перспектива утерять пароли к либерти при частой проверке баланса / истории через браузер гораздо опаснее, чем "засветить" пароль от API с ограниченной функциональностью.

Fialka, Senator2 - еще раз хочу поблагодарить Вас за труды!

Проблема не в доверии к автору, а в возможности отснифить данные посторонними пользователями. Будь то сотрудник оператора сотовой связи или просто владелец хостинга. Ни в коем случае не хотел обидеть автора, но мне кажется не стоит так передавать данные, так как ограничения в апи либерти не всегда работают. Замечал это не один раз при тестировании апи.

добавлено через 4 минуты
К примеру, на момент написания поста ограничение на сумму транзакции в либерти апи не работает. Все желающие могут проверить прямо сейчас

добавлено через 7 минут
Senator2: ворует не обязательно программа, а любой кто имеет доступ к хостингу или жпрс снифер

А вот это интересно! Вы хотите сказать, что были случаи когда API интерфейс, настроенный только на проверку баланса и чтение истории, позволял делать переводы?!

С точки зрения защиты информации, Вы совершенно правы - недопустимо использовать программы (сервисы), написанные третьими лицами (не имеющими перед Вами никаких обязательств), которые получают доступ к конфиденциальной информации. Это правило действует и в отношении почтовиков, браузеров, киперов, операционных систем, провайдеров и т.д.

НО, если Вы не боитесь потерять эту информацию, то к чему волнения? Или Вы не используете бесплатные браузеры, ломанные операционки, бесплатные почтовики, которые по сути своей работают как "As is" и никаких гарантий не дают? Или Вы не отписываетесь на форумах о вкладах / выплатах с различных проектов?

Именно, может подтвердить разработчик ProfiKeeper'a. Если я не ошибаюсь, даже у него на форуме про это писали.

В том то и дело, что не использую Виста лицензионная и практично весь остальной софт тоже. Просто когда возникает вопрос, что дороже лицензионный софт или ущерб от креков, некоторые решают, что дороже второе.

Кроме того, в связи с моей деятельностью (разработка политик безопасности, защита данных для предприятий и т.д.) все же стараюсь ограничить возможность потери конфиденциальной информации.
Конечно, это личное дело каждого, что использовать. Но не хочется проснутся и увидеть что несколько кил у.е. у тебя украл владелец "левого" хостинга.

Это интересно - надо будет попробовать...
Если честно - такое ограничение - на сумму перевода ни разу не пробовал ставить...
Я вообще имел ввиду опции "Балланс, История, Перевод, API-Name" ну и IP-адрес в придачу...
Когда писал программу - эти опции я проверял...
Другие ограничения - лично мне оказались ненужными - так что и не пробовал их...

Занятно... Кто еще может поделиться информацией по этому поводу (вероятность перевода через API если фунция перевода запрещена)?

Тут я полностью согласен. Но как правильно было сказано...
Поставьте ограничение по IP и "будет вам счастье" - пусть воруют пароли наздоровье!
Кстати IP опять сменилось на 209.172.44.134
P.S. По поводу сбоев в ограничении API - пишите в саппорт ЛР.

И вообще... Я тут работаю щас над новым проектом (сайтом), где нужно будет указывать (хранить) свои пароли. Вещь будет удобная, но при таком параноидальном настрое, походу, никто моим сервисом пользоваться не будет... А сразу выделенный сервер с ССЛ я не потяну. ...Два месяца работы насмарку

Если вдруг "засветится" пароль от API, то IP фильтр не поможет - ничто не помешает гипотетическому злоумышленнику получать доступ к информации с помощью Вашей же программы (через тот же IP).

Опять же, если вдруг кого-то будут профессионально пасти (например, с помощью уже озвученных gprs-сниферов), то ИМХО, информацию уведут в любом случае...

Немного паранойи в финансовых вопросах никогда не помешает

А что касается "работы насмарку" - это Вы зря - наработки и опыт еще никому не мешали

добавлено через 7 минут
По-поводу безопастности. А нельзя ли устроить регистрацию на Вашем сайте для пользователей мобильного LR-кипера? В акаунте пользователя можно было сделать привязку к imei телефона, например. Т.е. при получении запроса на проверку баланса / истории система будет проверять imei телефона, с которого послан запрос, и только в случае совпадения с заданным в акаунте, ретранслировать запрос либерти. Такое возможно или сложно будет реализовать?

ТОЧНО! Я бы до такого не додумался!
Про регистрацию я уже думал, но...
А ВДРУГ ХОСТЕР СВОРУЕТ И ПРОДАСТ БАЗУ С ПАРОЛЯМИ?
...Удобно, они там все в одном месте будут!
Видимо, короче нужно лекарство от страха.

Просто прикиньте самый безопасный вариант.

Например, такой:

на сервере в базе сохраняются следующие данные (группа 1):

1) логин к учетной записи (отличается от API name)
2) пароль к учетной записи (отличается от API password)
3) imei телефона

с клиентской программы передается (т.е. эта информация на сервере не сохраняется - группа 2):

1) номер счета в либерти
2) логин к либерти (API name)
3) пароль к либерти (API password)

4) imei телефона (из группы 1)
5) логин к учетной записи (из группы 1)

Что мы получим в этом случае? Если злоумышленник ломает Ваш сайт, то он получает только информацию из первой группы (по сути, бесполезную). А если какой-то продвинутый товарищ выудит информацию второй группы с помощью gprs-снифера, то он не сможет ее использовать из-за несовпадения imei (в случае, если в настройках API действительно задать IP фильтр по адресу Вашего сайта).

Скептики могут заметить, что мол нечестный хостер (или "кул хацкер" ) может получить данные из обеих групп, НО данные из второй группы можно получить только в момент подачи запроса (т.е. злоумышленник должен мониторить работу Вашей системы, а не просто спереть базу) - от этого варианта защиты пока не вижу, но он менее вероятен (ИМХО).

Если все написанное выше бред - поправьте меня

вещь неплохая но каждому она нужна.Но раз начал работать то доделай до конца!

добавлено через 1 минуту
вещь неплохая но не каждому она нужна.Но раз начал работать то доделай до конца!

Что Вы понимаете под "доделай до конца"? Программа работоспособна: хотите пользуйтесь, хотите нет. Нет предела совершенству - она будет дорабатываться не "до конца", а до тех пор пока разработчику не надоест (ИМХО)...

Лично я без проблем могу зайти на сайт либерти через любой ИП. Подмену Ip в http заголовке ни кто не отменял. Самое главное - не светить имя апи и пароль. Как реализовать - вариантов много: начиная от шифрации передаваемой инфы, заканчивая передачей по защищенному каналу.

Ой-ой ой какие у нас тут хакеры появились... Ну-ка нука давайте-ка нам тут всем расскажите, как имея физический IP1 заставить отображать IP2, например на сайте https://2ip.ru?
Очень хочу почитать!

добавлено через 13 минут
Коменты Sapiens'у: Сайт (скрипт) автоматом не может определить IMEI телефона (а я например вообще не знаю как его в яве узнать), значит его тоже надо передавать при (в) запросе... т.е. получается что это типа доп. пароля (который есть в базе). Касяк!
Выход только один - регистрация на сайте (логин1 и пароль1), ввод имени интерфейса (логин2) и пароль к интерфейсу (пароль2).
Храним в базе: логин1, хеш от пароль1, логин2 и пароль2, зашифрованный при помощи пароль1 (шифрация обратимая).
В сеансе связи передается только логин1 и пароль1.
....Обсуждаем

А насколько надежен будет алгоритм шифрования логин2 и пароль2? Если ломанут базу, не сможет ли злоумышленник расшифровать их имея только хеш от пароль1?

Жаль, что с imei не получается Было бы неплохо - аппаратная привязка. А как насчет номера телефона с симкарты мобильника? Сможете программно получить? Можно его использовать в качестве "аппаратного пароля" - не весь номер, а последние 5 цифр, например (чтобы если ломанут базу, всякие дебилы не звонили )