Plugin XPay per Joomshopping

[prelite]

Mi piacerebbe sviluppare un Plugin che ti permetta di effettuare i pagamenti tramite carta di credito (xPay di Carta Sì) nel momento in cui evado l'ordine in Joomshopping.

Gli unici dati che devo passare al Plugin dal backend sono ID-Terminale, Chiave Mac e tipo di pagamento (implicito o esplicito). Nel momento in cui evado l'ordine e pago con carta di credito il plugin dovrà aprire una pagina di carta sì e passare i tre dati citati in modo nascosto e impostare l'importo del pagamento.
L'utente infine dovrà compilare la pagina di carta sì (aperta dal plugin) con i propri dati della carta di credito e completare il pagamento.

Qualcuno ha qualche suggerimento?
Premetto che posso postare un PDF dove viene spiegato il funzionamento del pagamento tramite XPay fornitomi gentilmente da Carta Sì.

[mau_develop]

Qualcuno ha qualche suggerimento?

- se il servizio che ti viene offerto ha un interfaccia metti quella in un wrapper, tu non puoi raccogliere un numero di carta di credito e poi inviarla a carta si

- se il servizio che ti viene offerto ha delle api usa quelle

- dubito che tutto si risolva con un plugin

- un plugin non è più nascosto di un mod_  o di un com_

M.

[prelite]

- se il servizio che ti viene offerto ha un interfaccia metti quella in un wrapper, tu non puoi raccogliere un numero di carta di credito e poi inviarla a carta si

Infatti il numero della carta viene inserito sulla pagina di carta sì, a quella pagina però vengono passati anche gli altri tre dati che andrei ad inserire nel plugin (ID Terminale, Chiave MAC, Tipo di addebito) ma l'utente non deve ne vedere, ne conoscere, ne avere la possibilità di variare i dati del pos virtuale.

- se il servizio che ti viene offerto ha delle api usa quelle

non ne ho la più pallida idea. Come faccio a vederlo?

- dubito che tutto si risolva con un plugin

Perchè no?

- un plugin non è più nascosto di un mod_  o di un com_

Per nascosto intendevo che nel plugin in backend ogni utente si imposta i tre dati del pos virtuale (ID Terminale, chiave MAC e tipo di addebito) che devono essere passati al portale di carta sì senza che il cliente finale le veda. Ovviamente se si guarda la pagine in codice poi li vede ugualmente ma non ci può fare lo stesso nulla.

[mmleoni]

l'unica è andare di reverse engineering su un modulo di pagamento già esistente, la piattaforma scelta non brilla certo per documentazione, e quella poca che c'è è in tedesco... buona fortuna.

per il resto devi 'impacchettare'i dati come descritto nel documento e spedirli al server della banca che provvederà a gestire la transazione con la carta di credito ed a restituire l'esito dell'operazione.

ciao,
marco

[mau_develop]

guarda... io ho usato + volte b sella e non credo sia molto diversa e + o - capisco il concetto di ciò che vuoi fare ma:

Per nascosto intendevo che nel plugin in backend ogni utente si imposta i tre dati del pos virtuale (ID Terminale, chiave MAC e tipo di addebito)
----------------------------------------------------
mmmhhh così è ossibile per un utente assumere altre identità, se li metti come parametri sono raggiungibili da tutti gli utenti backend,... deve essere qualcosa di diverso...

a quella pagina però vengono passati anche gli altri tre dati che andrei ad inserire nel plugin
--------------------------------------------------------------------------------------------
infatti, tu a quel wrapper ci puoi arrivare portandoti dietro dei dati che già Joomla è in grado di garantire
il mac address è spooffabile e non è mai una sicurezza, l'id e l'auth di joomla se impostata e checkkata a dovere è sicura... a meno che non mi dimostri una vulnerabilità, se tu ti logghi con una pw sicura puoi essere un user e basta quindi non serve mac address ed altr.

se invece vuoi identificare la reale provenienza della request come terminale devi ricorrere ad altre soluzioni "esterne" magari in perl dove puoi lavorare su altri livelli (anche con php ma non è adatto)

M.

[mmleoni]

il mac è un md5 dei dati passati nel collegamento con la aggiunta di una chiave (stringa) segreta per non renderlo replicabile, non c'entra con il mac address.

ps: diamo una ripassatina allo stack iso/osi: le info di layer 2 sono accessibili a layer 3?
 

ciao,
marco

[mau_develop]

detta così ..sicuramenete ..il livello che ho citato centrava nulla...
 intendevo la chiamata ad uno script sulla macchina che restituisca questo... e/o un exec() per intenderci.. chessò ..l'ipconfig..
della lan locale ovviamente ...
... ma dimentico sempre che tutto è eseguito in remoto
.. mmmhh .. non saprei.. a qs punto...

M.

[prelite]

Per quanto riguarda la sicurezza basta limitare l'amministratore o qualche altro utente all'utilizzo dei plugin anche se non è un vincolo strettamente necessario.
Si presuppone che chi acceda al backend non vada a cambiare i dati dell'xpay anche perchè sarebbe contro producente.
Io per mia mamma utilizzo un software che si chiama ReadyPro serve sia alla gestione del magazzino che del sito ecommerce questo software ha un plugin che per l'appunto si chiama XPay.
Quando termino la transazione il mio sito ecommerce apre il sito di carta sì e gli passa le tre famose variabili che imposto in backend che identificano il mio pos virtuale ed inserisce nel campo dell'importo, l'importo esatto dei prodotti e delle spese di spedizione infine l'utente deve compilare nome cognome scadenza numero di carta e ccv e premere su prosegui per portare a termine l'operazione.
Quindi io devo trovare un modo in joomshopping quando vado al carrello di richiamare il sito di carta si passargli i tre dati del plugin "da creare" e impostare la variabile dell'importo complessivo.

[mmleoni]

facciamo un po di luce...
passati i primi anni in cui il web era sconosciuto, le varie banche hanno organizzato i propri gateways di pagamento rispondendo sempre più ai criteri di sicurezza ormai necessari.
il primo passo, tralasciando gli esordi, fu quello dell'uso delle OTP (one time password) in cui veniva trasferito al gateway bancario un codice specifico, preso da una lista fornita dalla banca, atto a validare la provenienza della richiesta. la banca a sua volta rispondeva con una OTP che il sito doveva verificare essere presente tra le OTP fornite dalla banca stessa per le risposte.
Con il passare del tempo, verificato che tutti i linguaggi disponessero di funzioni base di crittografia, si è optato per una forma più semplice di controllo, più semplice ma difficile da falsificare.

I dati della transazione sono trasmessi in chiaro con l'aggiunta di un campo che contiene tutti i dati, concatenati come stringhe, con l'aggiunta di una stringa 'segreta'; della combinazione dei campi viene trasmesso lo MD5. il server della banca concatena i dati trasmessi, aggiunge la stringa segreta e ne calcola lo MD5; se questo ultimo concorda con il valore trasmesso la transazione è riconosciuta come legittima.

questa è la metodologia usata dai principali istituti di credito italiani.

nel caso vi siano problemi di sicurezza è bene codificare i dati sensibili direttamente nel codice: sebbene io non ami le soluzioni hard coded, in questo caso la soluzione sarebbe giustificata.

ps: la risposta al quiz di cui sopra è 'no', ma se non siete dei sysadmin non preoccupatevi se non avete capito la domanda

ciao,
marco

[prelite]

facciamo un po di luce...
passati i primi anni in cui il web era sconosciuto, le varie banche hanno organizzato i propri gateways di pagamento rispondendo sempre più ai criteri di sicurezza ormai necessari.
il primo passo, tralasciando gli esordi, fu quello dell'uso delle OTP (one time password) in cui veniva trasferito al gateway bancario un codice specifico, preso da una lista fornita dalla banca, atto a validare la provenienza della richiesta. la banca a sua volta rispondeva con una OTP che il sito doveva verificare essere presente tra le OTP fornite dalla banca stessa per le risposte.
Con il passare del tempo, verificato che tutti i linguaggi disponessero di funzioni base di crittografia, si è optato per una forma più semplice di controllo, più semplice ma difficile da falsificare.

I dati della transazione sono trasmessi in chiaro con l'aggiunta di un campo che contiene tutti i dati, concatenati come stringhe, con l'aggiunta di una stringa 'segreta'; della combinazione dei campi viene trasmesso lo MD5. il server della banca concatena i dati trasmessi, aggiunge la stringa segreta e ne calcola lo MD5; se questo ultimo concorda con il valore trasmesso la transazione è riconosciuta come legittima.

questa è la metodologia usata dai principali istituti di credito italiani.

nel caso vi siano problemi di sicurezza è bene codificare i dati sensibili direttamente nel codice: sebbene io non ami le soluzioni hard coded, in questo caso la soluzione sarebbe giustificata.

ps: la risposta al quiz di cui sopra è 'no', ma se non siete dei sysadmin non preoccupatevi se non avete capito la domanda

ciao,
marco

Tutto vero, ma la sicurezza della transazione non viene dal mio sito ma da quello di Carta Sì.
Il mio ecommerce, al termine dell'operazione, non fa altro che richiamare il sito di Carta Sì e passare a questo sito 3 costanti e 1 variabile.
Le tre costanti sono il MAC, ID Terminale e tipo di addibito del mio pos (se poi imposto in modo errato il mac, id terminale e il tipo di addebito nel plugin sono scemo due volte perche la transazione non verrebbe compiuta).
Il MAC e l'ID del Terminale mi vengono comunicati da Carta Sì alla sottoscrizione del contratto, non variano servono a Carta Sì per identificare il mio POS virtuale, ogni transazione viene compiuta con stesso ID Terminale e stesso MAC.
L'ultima costante è il tipo di pagamento:
Implicito l'addebito sulla carta viene effettuato in un secondo momento dall'esercente (es. Hotel)
Esplicito l'addebito sulla carta viene effettuato immediatamente.
(Se un presunto hacker si intrufolasse nel mio sito ed impostasse un MAC e un ID Terminale finto la transazione non verrebbe compiuta, se un hacker inserisse nel mio sito un MAC e un ID terminale vero ,cosa altamente improbabile, vorrebbe dire che l'Hacker in questione ha un'attività registrata e un POS virtuale collegato, quindi penalmente perseguibile.)
Mentre la variabile è l'importo.

[mau_develop]

secondo me stiamo girando intorno al palo...

nel tuo carrello avrai un pulsantino "paga", al click vieni indirizzato ad una pagina che ti permette di scegliere il tipo di pagamento, tra le cui opzioni hai il pulsantino della tua carta di credito.
cliccandoci puoi aprire una pagina o una finestra modale dove verrà chiamata l'api dentro un iframe, passando i valori che chiede recuperandoli runtime.
La transazione non ha problemi di sicurezza in se e se ci fossero non sarebbero problemi tuoi, maaa immagina che trovo un buchino nel sito o nella procedura, cosa posso metterci a fare una prompt della visa fake? a qs punto dove inseriresti i dati?........o più invisibile ancora posso fare una specie di mtm per cui i dati finiscono dove devono finire ma prima passano dal mio script.

la banca ti può garantire la transazione, non di certo ciò che ci sta prima....

M.

[prelite]

secondo me stiamo girando intorno al palo...

nel tuo carrello avrai un pulsantino "paga", al click vieni indirizzato ad una pagina che ti permette di scegliere il tipo di pagamento, tra le cui opzioni hai il pulsantino della tua carta di credito.
cliccandoci puoi aprire una pagina o una finestra modale dove verrà chiamata l'api dentro un iframe, passando i valori che chiede recuperandoli runtime.
La transazione non ha problemi di sicurezza in se e se ci fossero non sarebbero problemi tuoi, maaa immagina che trovo un buchino nel sito o nella procedura, cosa posso metterci a fare una prompt della visa fake? a qs punto dove inseriresti i dati?........o più invisibile ancora posso fare una specie di mtm per cui i dati finiscono dove devono finire ma prima passano dal mio script.

la banca ti può garantire la transazione, non di certo ciò che ci sta prima....

M.

Hai ragione, allora il metodo più sicuro è passare tramite paypal...perchè per assurdo quanto mi hai detto potresti farlo su tutti i siti ecommerce che hanno un modulo di pagamento con carta di credito.

[mau_develop]

quanto mi hai detto potresti farlo su tutti i siti ecommerce che hanno un modulo di pagamento con carta di credito.
---------------------------------------------------------
esatto... ma dai per scontato la vulnerabilità che non ci deve essere.
Inoltre questi servizi andrebbero offerti su server non condivisi, su cui magari è possibile implementare qualche difesa maggiore e dedicata.... poi se succede... evabbè, tu hai fatto il possibile,.... un po' di casini ma nessuno dovrebbe rimetterci.

M.

[prelite]

secondo me stiamo girando intorno al palo...

nel tuo carrello avrai un pulsantino "paga", al click vieni indirizzato ad una pagina che ti permette di scegliere il tipo di pagamento, tra le cui opzioni hai il pulsantino della tua carta di credito.
cliccandoci puoi aprire una pagina o una finestra modale dove verrà chiamata l'api dentro un iframe, passando i valori che chiede recuperandoli runtime.
La transazione non ha problemi di sicurezza in se e se ci fossero non sarebbero problemi tuoi, maaa immagina che trovo un buchino nel sito o nella procedura, cosa posso metterci a fare una prompt della visa fake? a qs punto dove inseriresti i dati?........o più invisibile ancora posso fare una specie di mtm per cui i dati finiscono dove devono finire ma prima passano dal mio script.

la banca ti può garantire la transazione, non di certo ciò che ci sta prima....

M.

In ogni caso per fare questo dovresti avere le mie credenziali dell'FTP o del db MySQL o dell'amministratore del mio sito in Joomla giusto?

[mau_develop]

si, ma oltre questo su server condivisi ho anche molte più possibilità, posso sfruttare settaggi a "maglia larga" per accontentare un po' tutti gli utenti, posso usare i buchi offerti da altri per passare dalla macchina... magari ci sono più siti che offrono il pagamento e me li faccio tutti... ovviamente sono tutte fantasie finchè non si prova e soprattutto sono attacchi molto silenziosi e per nulla distruttivi, non ti aspettare i banner in homepage.

[......]
Sono comunque attacchi dove il criminale non ha una così grande competenza informatica, e non è così difficile difendersi; i dati verranno quasi sicuramente venduti o usati con la mail del "fantomatico personaggio" che deve dare dei soldi a qualcuno e se gli dai una mano ne da anche a te...
I veri attacchi per il furto di tali dati, in realtà, avvengono direttamente sui server e quindi nei db dei vari erogatori di servizi che raramente ne fanno pubblicità.
Sta facendo molto scalpore l'attività di Anonymous... oddio... a me fa molto scalpore interno che uno passando da un server ti arrivi diretto su una rete locale... ma non nella lan del lattaio, ma in quella della sicurezza informatica della polpost!
I dati che hanno pubblicato e che trovi se cerchi con google, sono ne più ne meno che contenuti locali, e non credo così rilevanti se non per qualche "scandaletto"
Sicuramente sono molto abili e non così babbei, anche se qualcuno deve aver dimenticato di far passare qualche tool dal proxi, visto che l'hanno individuato...

... così ... per parlare un po'...ma sono chiacchiere da bar

M.

[jonnyp1]

ragazzi riprendo questo post perchè ho un problema simile,

vorrei utilizzare questo plugin joomshopping per il mio piccolo sito, la domanda era se è stato sviluppato qualcosa per il pagamento con la carta di credito che per me è fondamentale grazie