Ребят. это конечно фейл безопасности: Я смог зарегать бота с именем BlankMoneyBot и пользователь сможет и не отличить (тем более Blank - правильное написание) а значит потенциально можно наделать еще похожих названий и просто заниматься фродом
Хотим поделиться, как мы гарантируем безопасность: 1) Мы производим проверку, что сообщение отправлено из нашего бота. Проверка происходит на уровне API telegram-наше API и недоступна для внешней компроментации. Все запросы других ботов, пытающихся отправить сообщения в наше API, будут отклонены. 2) Подтверждение доступа к счету приходит через SMS, а не в канал бота. 3) Функционал совершения платежа на данный момент закрыт. Даже когда он будет доступен, подтверждение операций будет происходить через sms. 4) Все действия клиентов через бота логгируются аналогично действиям через приложение и поставлены на мониторинг аномального поведения.
Ребят. это конечно фейл безопасности: Я смог зарегать бота с именем BlankMoneyBot и пользователь сможет и не отличить (тем более Blank - правильное написание) а значит потенциально можно наделать еще похожих названий и просто заниматься фродом
Хотим поделиться, как мы гарантируем безопасность:
1) Мы производим проверку, что сообщение отправлено из нашего бота. Проверка происходит на уровне API telegram-наше API и недоступна для внешней компроментации. Все запросы других ботов, пытающихся отправить сообщения в наше API, будут отклонены.
2) Подтверждение доступа к счету приходит через SMS, а не в канал бота.
3) Функционал совершения платежа на данный момент закрыт.
Даже когда он будет доступен, подтверждение операций будет происходить через sms.
4) Все действия клиентов через бота логгируются аналогично действиям через приложение и поставлены на мониторинг аномального поведения.
Также как и регать домены на разных доменных зонах, по типу .tk .xyz и пр.
Вы гений