За последние 24 часа нас посетили 11667 программистов и 1270 роботов. Сейчас ищут 464 программиста ...

1C и PHP безопасность соединения

Тема в разделе "Прочие вопросы по PHP", создана пользователем mahmuzar, 21 окт 2015.

  1. mahmuzar

    mahmuzar Старожил

    С нами с:
    6 апр 2012
    Сообщения:
    4.633
    Симпатии:
    425
    Адрес:
    РД, г. Махачкала.
    можно ли перехватить трафик между сайтом и 1С (SSL на сайте включен) и подделать пакет с сайта... Ситуация следующая - на сайте проводят оплату, сайт передает в 1С статус "Заказ оплачен". Так вот, нужно понять - можно ли подделать статус "Заказ оплачен", хотя фактически заказ не оплачивали?
     
  2. denis01

    denis01 Суперстар
    Команда форума Модератор

    С нами с:
    9 дек 2014
    Сообщения:
    12.236
    Симпатии:
    1.716
    Адрес:
    Молдова, г.Кишинёв
    по https данные идут? если через curl нужно включить проверку сертификата.
    оплату подтверждает платёжный шлюз?
     
  3. mahmuzar

    mahmuzar Старожил

    С нами с:
    6 апр 2012
    Сообщения:
    4.633
    Симпатии:
    425
    Адрес:
    РД, г. Махачкала.
    Да
    Да, яндекс
     
  4. denis01

    denis01 Суперстар
    Команда форума Модератор

    С нами с:
    9 дек 2014
    Сообщения:
    12.236
    Симпатии:
    1.716
    Адрес:
    Молдова, г.Кишинёв
    Схема такая: yandex merchant -> https://example.com -> https://1c_server?
    Тут главное проверять данные от yandex merchant и вести уникальность одной оплаты, пользователь видит только статус оплаты, а не инициализирует её подтверждение, подтверждает только yandex merchant и там проверка по sha hash насколько помню + у тебя в базе должен быть id оплаты и статус не оплачено, его меняем на оплачено и больше на 1с шлём.
     
  5. mahmuzar

    mahmuzar Старожил

    С нами с:
    6 апр 2012
    Сообщения:
    4.633
    Симпатии:
    425
    Адрес:
    РД, г. Махачкала.
    Да.

    Вот этот момент как раз интересует, при пересылке возможно перехватить трафик сменить статус оплаты и отправить другой статус.
     
  6. mahmuzar

    mahmuzar Старожил

    С нами с:
    6 апр 2012
    Сообщения:
    4.633
    Симпатии:
    425
    Адрес:
    РД, г. Махачкала.
    1c на другом сервере.
     
  7. artoodetoo

    artoodetoo Суперстар
    Команда форума Модератор

    С нами с:
    11 июн 2010
    Сообщения:
    10.826
    Симпатии:
    1.174
    Адрес:
    там-сям
    Если ты проверяешь сертификат, то замена на транспортном уровне практически исключена. Остается бояться за подделку нешифрованных данных на хосте-отправителе или хосте-получателе )))
     
  8. denis01

    denis01 Суперстар
    Команда форума Модератор

    С нами с:
    9 дек 2014
    Сообщения:
    12.236
    Симпатии:
    1.716
    Адрес:
    Молдова, г.Кишинёв
    Перед тем как отправить человека на yandex merchant формируем id счёта и помечаем его не оплачено, отсылаем человека платить и ждём от яндекса подтверждение на id счёта, что он оплачен, меняем статус оплачено и шлём на 1c, если кто-то или яндекс опять на этот id сообщит что оплачено то в базе мы видим что счёт уже оплачен и не шлём данные на 1с
     
  9. mahmuzar

    mahmuzar Старожил

    С нами с:
    6 апр 2012
    Сообщения:
    4.633
    Симпатии:
    425
    Адрес:
    РД, г. Махачкала.
    Спасибо понял что к чему)).