можно ли перехватить трафик между сайтом и 1С (SSL на сайте включен) и подделать пакет с сайта... Ситуация следующая - на сайте проводят оплату, сайт передает в 1С статус "Заказ оплачен". Так вот, нужно понять - можно ли подделать статус "Заказ оплачен", хотя фактически заказ не оплачивали?
по https данные идут? если через curl нужно включить проверку сертификата. оплату подтверждает платёжный шлюз?
Схема такая: yandex merchant -> https://example.com -> https://1c_server? Тут главное проверять данные от yandex merchant и вести уникальность одной оплаты, пользователь видит только статус оплаты, а не инициализирует её подтверждение, подтверждает только yandex merchant и там проверка по sha hash насколько помню + у тебя в базе должен быть id оплаты и статус не оплачено, его меняем на оплачено и больше на 1с шлём.
Да. Вот этот момент как раз интересует, при пересылке возможно перехватить трафик сменить статус оплаты и отправить другой статус.
Если ты проверяешь сертификат, то замена на транспортном уровне практически исключена. Остается бояться за подделку нешифрованных данных на хосте-отправителе или хосте-получателе )))
Перед тем как отправить человека на yandex merchant формируем id счёта и помечаем его не оплачено, отсылаем человека платить и ждём от яндекса подтверждение на id счёта, что он оплачен, меняем статус оплачено и шлём на 1c, если кто-то или яндекс опять на этот id сообщит что оплачено то в базе мы видим что счёт уже оплачен и не шлём данные на 1с