nicht angemeldet
Webshops: manipulationsresistente Zahlungsbestätigung
Guten Tag,
heutzutage gibt es allerhand Webshops und allerhand Bezahlsysteme, aber noch nicht für alle Webshops gibt es fertige Module zur Anbindung bestimmter Bezahlsysteme.
Es geht jetzt darum, einem dieser bisher exotischeren Webshops mitzuteilen, dass eine Überweisung in Sofortueberweisung.de erfolgreich abgewickelt wurde.
Leider fehlt mir hierzu bisher die Idee für eine manipulationsresistente Transfer-Methode:
Es besteht ja - jeder der Sofortueberweisung.de schon angebunden hat, wird das wissen - die Möglichkeit, nach einer erfolgreichen Buchung eine URL mit Parameter aufzurufen. Hier könnte man jetzt zwar als Parameter einen Schlüssel angeben, aber woher sollte dieser Schlüssel kommen, wenn nicht aus dem Formular, über das Sofortueberweisung.de aus dem Shop heraus aufgerufen wird. Man könnte also mit diesem Schlüssel, der sich im Quellcode der aufrufenden Shop-Seite findet (und da hilft es nichts, dass er dank Input-Prüfung nicht änderbar ist, denn der Bösewicht will ihn nicht ändern, sondern nur kennen), nehmen und die Bestätigungs-URL - spätestens nach der ersten Probebestellung kennt man deren Aufbau ja - selbst zusammenstricken, OHNE überwiesen zu haben...
Wer hat eine Idee für einen manipulationsresistenten Ansatz bzw. was gibt es da für etablierte Verfahren, bei dem die Bestellung im Shop zwar als überwiesen gekennzeichnet wird, jedoch ohne, dass dies ohne eine vorausgegangene Überweisung möglich wäre? ;)
Interessant wäre sowohl ein allgemeiner Ansatz als auch einer speziell für Sofortueberweisung.de, wofür ich im Handbuch keine Anleitung gefunden habe, die speziell auf die manipulationsresistente Bestätigungsübermittlung eingeht.
Gruß Michi
-
Moin!
Es geht jetzt darum, einem dieser bisher exotischeren Webshops mitzuteilen, dass eine Überweisung in Sofortueberweisung.de erfolgreich abgewickelt wurde.
Wer als Kunde sofortueberweisung.de benutzt, ist sowieso gehirntot. Egal was deren Behauptungen auf der Website hinsichtlich Sicherheit und Audit sagen: Ich bin als Bankkunde gezwungen, denen die Zugangsdaten für meinen Onlinebanking-Account zu geben, damit die dort eine Überweisung durchführen können und dem Shop dann den Erfolg mitteilen.
Niemand kann mir garantieren, dass diese Daten wirklich nur zu diesem Zweck genutzt werden. Niemand garantiert mir, dass ich auf einem eventuellen Schaden nicht sitzenbleibe.
Als Zahlungsmethode fällt dieser Anbieter also aus grundsätzlicher Überlegung aus.
- Sven Rautenberg
-
Hoi.
Als Zahlungsmethode fällt dieser Anbieter also aus grundsätzlicher Überlegung aus.
100% ACK. Die wenigsten machen sich leider diese Gedanken. Ein Zusatz noch: Bei den meisten Banken dürfte die Verwendung die Verletzung der Nutzungsbedingungen bedeuten. Es ist schlicht eine Weitergabe der Zugangsdaten an Dritte.
Grüße
-
Dem hier Gesagten schließe ich mich zwar an ;), aber es geht mir jetzt nur um geeignete Verfahren zur gegenüber Manipulation unanfälligen Übertragung der Zahlungsbestätigung vom Bezahlsystem an den Shop.
Wie sagt das Bezahlsystem dem Shop, dass bezahlt wurde, ohne, dass sich diese Mitteilung fälschen lässt?
-
Hi,
Wie sagt das Bezahlsystem dem Shop, dass bezahlt wurde, ohne, dass sich diese Mitteilung fälschen lässt?
Bin auch gerade dabei sofortüberweisung in einen Shop einzubinden(Wunsch des Kunden, bzw. seiner Kunden).
So wie ich das sehe läuft es doch so ab, das Du diverse Daten an sofortüberweisung sendest(z.B. Name,Kontonummer,etc.). In deinem sofortüberweisungsaccount hast Du ein Passwort festgelegt, welches natürlich nur Dir bekannt sein sollte. Nach abgeschlossener transaktion bildet sofortüberweisung aus den Daten und deinem Passwort einen md5-Hash und übergibt diesen an Dich. Nun musst Du wiederum aus deinen Daten einen Hash bilden und diesen mit dem jenigen von sofortüberweisug vergleichen. Stimmen Sie überein, Transaktion erfolgreich, differieren Sie, Transaktion nicht erfolgreich.
Durch die hashberechnung sollte die Möglichkeit, dies durch Eingaben zu umgehen, IMHO nicht möglich sein.Grüße
GermanysNextTopfmodel-
Die Hash-Übergabe habe ich bei der Input-Überprüfung eingebaut, aber für die Bestätigungs-URL hab ich dazu noch keine Hinweise gefunden. Das Handbuch hätt man an einigen Stellen zwar auch klarer gestalten können, aber da schau ich nochmal gezielt auf Deinen Hinweis hin, danke schon mal. ;)
-
Der Bereich 3.2.4 schaut interessant aus: -USER_VARIABLE_0_HASH_PASS- usw. ;)
-
-
-
-
-