Dobrý den, v provozním řádu je appToken specifikován jako maximálně 20 číslic dlouhý řetězec. Pokud ho ale při přihlašování využíváme takto, tak je nám z penetračních testů vytýkána nízká entropie tohoto parametru. Vyzkoušeli jsme, že lze tímto parametrem přenést i delší řetězce, které dokonce obsahují i všechny možné znaky, nejen číslice. Jaké jsou tedy reálné omezení tohoto parametru? Je toto funkčnost, na kterou se lze spolehnout i v produkčním běhu a popis s maximálně 20 číslici je v podstatě zastaralý?
Děkuji moc.
Jiří Hoherčák
187.1 Re: Specifikace appToken
602jsima 17.08.2020 08:01Dobrý den, zajímavý dotaz.
Zjistím odpověď a poté napíšu sem. Spíš budete mít pravdu Vy a opravíme dokumentaci, protože kód na Veřejném testu a Produkci je prakticky totožný.
Jan Šíma
ISDS
187.2 Re: Specifikace appToken
602jsima 17.08.2020 08:45Dobrý den
odpověď vývojářů je jasná: používejte pouze těch dokumentovaných až 20 číslic. Je možné, že v nějaké budoucí verzi se to zvětší, ale zatím k tomu důvod nevidíme.
Jan Šíma
ISDS
187.3 Re: Specifikace appToken
hohercak@oksystem.cz 17.08.2020 09:01Dobrý den,
děkuji za odpověď.
S pozdravem
Jiří Hoherčák