Прямая почта Moneris безопасна?

Question

Я смотрю на обработку платежей Moneris и их Прямая почта метод. Для моей жизни я не могу понять, как работает безопасность на ней.

Как лучше всего, как я могу сказать, что это делает это:

1. Web Пользователь приходит на мой сайт. Они заполняют информацию о своей кредитной карте (https).
2. Я покажу им резюме в форме. Когда они находят подачу, они отправляются в Moneris (POST) - включая мой ID, информацию о кредитной карте и обычай ID транзакции.
3. Moneris обрабатывает транзакцию и отправляет ее обратно на мой сайт (в качестве POST)
4. Если они прибывают на failed.php или по указанному вами адресу, транзакция не удалась. Else:
5. Если они прибывают на gotyourmoney.php, то сделка, казалось бы, сработала. Время проверки. (Входят в POST вары является Unique ID для сделки, штампы даты/времени, RESPONSE_CODE (получили деньги, не получили деньги) и несколько других различных предметов.
6. перенаправить пользователь обратно на сайте MONERIS с другим POST. Я включаю свой идентификатор снова и Уникальный ID вернулся в шаг 5 проверить сделку.
7. Пользователь перенаправляется обратно gotyourmoney_verified.php как POST снова с уникальным идентификатором, ID сделки и response_code.

То, что я не могу понять, это:

Нет, где же там, кажется, любой информации, которую я могу подтвердить, что веб-пользователь не может просто сделать. Хотя это https-соединение, я доверяю пользователю передавать всю информацию. Они могли сразу перейти на страницу gotyourmoney.php и даже не пойти на шлюз платежей moneris. Они могут просто составлять идентификаторы. Когда я отправлю их обратно в moneris для подтверждения транзакции, они снова могут отправить комментарий на мой сайт.

Что мне не хватает?

Answer 1

Действительно, поскольку все эти вещи проходят через клиента, их можно легко подделать. И документация Moneris не говорит вам об этом. Вам нужен какой-то шаг от сервера к серверу, чтобы быть уверенным, что все в порядке.

Я бы предложил сделать предварительную авторизацию с помощью размещенной страницы оплаты, а затем сделать захват с помощью PHP API. Поскольку вы выполняете захват сервера на сервер, любая попытка обмана клиентом приведет к неудачному захвату.

Answer 2

Функция проверки транзакций DirectPost может использоваться для предотвращения подмены.

Вот как это работает

1. Клиент вводит данные своей кредитной карты на вашем сайте, и информация направляется MONERIS для обработки

2. MONERIS обрабатывает транзакции и отправляет результат транзакции на сайт

3. Если проверка транзакции включена, тогда в результате транзакции появится специальное поле, называемое «ключом транзакции»

4. Затем, чтобы проверить, что сделка не поддельный, ваш сайт будет посылать ключ транзакции в запросе подтверждения транзакций MONERIS

5. MONERIS затем проверить транзакцию с использованием ключа транзакции и реагировать с результатом, который позволяет вам знать, если сделка была подделать

Руководство интеграции для DirectPost все подробности о том, как реализовать функции транзакций Проверка и может быть скачать на http://developer.moneris.com (требуется бесплатная регистрация).

В дополнение к проверке транзакций вы также можете настроить URL-адрес реферера. Если URL-адрес реферера настроен, Moneris проверяет, происходит ли транзакция с разрешенного URL-адреса. Возможно обойти функцию URL-адреса реферера, но включение URL-адреса реферата по-прежнему полезна как часть стратегии защиты по глубине, потому что это затрудняет подделку транзакции.