Яндекс Деньги не готовы для десктопа

Sep. 4th, 2013 11:58 pm
birdwatcher: (Dore: Ogre)
[personal profile] birdwatcher
Гениальная вещь: в доках к интерфейсу объясняется, как работать с криптографией. Надо, мол, взять три некоторых параметра, составить из них и еще одного, известного только Алисе и Бобу, строку (обязательно в кодировке UTF-8), закодировать алгоритмом SHA-1, и сравнить результат с контрольной суммой. Например, говорится, если три параметра были такие-то, и ключ такой-то, то вот, какой получается результат.

Делаешь - ничего общего. Туда-сюда, а что такое, собственно, кодировка UTF-8, вплоть до патентованно опасной мути в направлении какого размера байты у Перла внутри на самом самом самом деле. В общем, надо гуглить уже с прицелом.

Немедлено обнаруживается: все работает правильно, в доках ошибка, на место ответа скопипасчена какая-то произвольная белиберда.
Flat | Top-Level Comments Only

Date: 2013-09-05 02:07 pm (UTC)
From: [identity profile] birdwatcher.livejournal.com
Действительно. Но я не шокирован, так как не знаю, в чем разница.

Date: 2013-09-05 02:56 pm (UTC)
From: [identity profile] jsn.livejournal.com
Ну так, детская ошибка, стандартный пример из любой лекции "почему не следует доверять крипто любителям" (я сам тоже любитель, если что). Например, length extension attack (подсмотрев sha1(X), можно вычислить sha1(concat(X, 'whatever')), не зная X), и что-то там ещё, я не помню. HMAC-и сделаны специально для применения в таких местах и такими проблемами не страдают.
Flat | Top-Level Comments Only