nicolasguillet
commented
4 years ago Also ein Hash nur auf die Nutzlast bringt keinen Sicherheitsgewinn, denn ein Man in the Middle könnte diesen ja auch ausrechnen und mitgeben. Da die Kommunikation zwingend TLS-basiert ist und es "nur" um Rechnungen und nicht z.B. um Zahlungsaufträge geht, wäre ein SALT oder sonst ein zusätzlicher Mechanismus meiner Meinung nach etwas Overkill. Falls da jemand aber wirklich begründeten Bedarf sieht, können wir das schon in der Core-Arbeitsgruppe besprechen.
Software Partner API v1, /billers/{billerPid}/business-cases
Cool wäre, wenn man optional noch einen Hash (SHA256 z.B.) mitschicken dürfte und die API verifiziert nach erhalt diesen ebenfalls. So kann man besser davon ausgehen, dass auch jene Datei angekommen ist, die man verschickt hat (MITM). Geht natürlich ein wenig auf Kosten der CPU bei der API, aber darum auch nur Optional?
Eingereicht von Abraxas Informatik AG, am 18.5.2020