Beveiliging betaalvenster

Door Marien xD op 24-04-2007 19:05

1.383 views

Ik probeer zoveel mogelijk dingen te 'beveiligen' van een betaalvenster.

Ik zal even de situatie schetsen:
Ik heb 3 sites (A,B,C) welke allemaal in dezelfde categorie vallen. Deze hebben allemaal een product welke verkocht word. Om nu alles centraal te houden heb ik besloten om mijn nieuwe betaalvenster te positioneren op mijn hoofddomein: D.

Het is nog volop in de ontwikkelingsfase maar ik wil toch al vanaf de basis over beveiliging gaan nadenken.

Hoe kan ik bijvoorbeeld garanderen dat de gebruiker van de site komt en dat die gebruiker ook de gebruikers is welke zijn product betaald. Ik zat te denken om bijvoorbeeld op de begin site een MySQL record te maken met de ip enzo + een salt. en deze dan encrypten dmv md5 -> meegeven in url en dan hetzelfde reproduceren in het betaalvenster en kijken of het klopt, zo ja kan je na de betaling in dit record zetten dat er betaald is. venstertje sluiten en verder gaan met de definitieve bevestiging.

* sites:
nieuwe abc site: nokia-unlocken.nl/new
Je ziet gelijk de betaalknop, alleen telefoon werkt gedeeltelijk! Is nog in ontwikkelfase...

Marvin S

25-04-2007 16:48

Dit is inderdaad een goeie manier.. wat je er ook nog bij kan doen is sessies..

stel er werken 2 mensen op kantoor vanaf 1 ip.. dan loopt het systeem mis bij jouw.. zorg dat men een code meekrijgt in een sessie bijvoorbeeld.. (merkt diegene niets van) zet dit nummer (random) in de database en zet hem in een sessie.. op de andere gedeelte check je dan dat nummer weer..

ik weet alleen niet of jij van domein A naar domein B wilt enzo.. want dan werken sessies niet denk ik..

je kan dan als alternatief die code weergeven en de klant instructies geven dat die code moet worden ingevuld in 'het volgende scherm'

Marien xD

27-04-2007 12:02

Het gaat inderdaad tussen 2 domeinen maar ze staan beide op 1 server en kunnen dezelfde database benaderen.

Aan jouw oplossing zat ik te denken, maar ik heb sites met verschillende dingen:

1 site (welke het voorbeeld is) moet terug melding op de pagina hebben. (dit kan dmv pincode o.i.d.) en de andere krijgen direct een download link. Hier is dus geen extra controle stap nodig omdat de download altijd hetzelfde is...

Nu zat ik te denken:
Gebruiker voert gegevens in op de website: word gekoppeld aan ip in MySQL + salt o.i.d. Daarna word de betaling gedaan in de externe wizard, word ook gesaved in MySQL en dan krijgen ze de pin te zien welke ze weer in moeten voeren op de site. Deze submitten ze na de betaling, met die submit worden weer de gegevens overnieuw gestuurd. Zijn die gelijk met de gegevens in db dan moet de betaling goed zijn en is er niet aan gerommeld.

Is dit een goede denkwijze of mis ik hier toch een essentieel stapje? (en dan denk ik aan 1 betaling -> meerdere producten)

Sebastiaan Blaas

27-04-2007 12:04

waarom doe je betaling niet gewoon op dezelfde pagina als waar de klant zit, dus a b of c
en handel je de betaling af dmv SOAP ?

Marien xD

27-04-2007 14:06

@sebas
Dit heeft 2 redenen:
1. Beheersbaarheid v.d. code
2. Snelle uitbreiding voor nieuwe sites

En onder beheersbaarheid kan je heel veel verstaan.

En ik gebruik geen SOAP, ik gebruik een interface van de betaling provider welke het platform aanbied.

Reageren

Inloggen om te reageren