«Дырку» оперативно закрыли, но при этом создали головняк некоторым разработчикам приложений для ВК. Раньше я делал users.get с сервера, по трем причинам: 1) Это быстрее, чем вызвать с клиента. 2) Это надежнее в плане того, что пользователь не сможет подделать URL фото, передав его с клиента. Поддельный URL может содержать, например, порнографию, а не аватар пользователя. 3) Поддельный URL может содерать не фото, а какой-нибудь swf, который может быть использован в «хакерских» целях. Такое тоже было. После фикса «дырки» users.get с сервера возвращает только имя пользователя и его пол. Как это можно исправить (не ломая при этом фикс «дырки»)? Два способа: 1) Разрешить вызывать users.get с сервера, при условии передачи клиентского access_token. Так сделано на ОК, ММ и Фейсбуке. 2) Подписывать секретным ключом приложения ответ API на users.get. Тогда разработчик сможет безопасно использовать эти данные, переданные с клиента на сервер.
Дискуссии пользователя
«Дырку» оперативно закрыли, но при этом создали головняк некоторым разработчикам приложений для ВК. Раньше я делал users.get с сервера, по трем причинам: 1) Это быстрее, чем вызвать с клиента. 2) Это надежнее в плане того, что пользователь не сможет подделать URL фото, передав его с клиента. Поддельный URL может содержать, например, порнографию, а не аватар пользователя. 3) Поддельный URL может содерать не фото, а какой-нибудь swf, который может быть использован в «хакерских» целях. Такое тоже было. После фикса «дырки» users.get с сервера возвращает только имя пользователя и его пол. Как это можно исправить (не ломая при этом фикс «дырки»)? Два способа: 1) Разрешить вызывать users.get с сервера, при условии передачи клиентского access_token. Так сделано на ОК, ММ и Фейсбуке. 2) Подписывать секретным ключом приложения ответ API на users.get. Тогда разработчик сможет безопасно использовать эти данные, переданные с клиента на сервер.