paypal http_referer need help!

[Apache_xp]

paypal http_referer need help!

Привет всем!
Вопрос заключается в следующем :
{для тех кто работал с paypal}
При получении ответа с paypal об удачной транзакции
хотелось бы проверить, что ответ пришел имеено с paypal.
HTTP_REFERER почему то не приходит
$_SERVER никакой полезной инфы не дает.
Понятно, конечно, что и http_referer - не 100% гарантий
что ответ с paypal, но все таки безопасность повыше.
Или если есть какие нить другие предложения по безопасности с paypal

 

[si]

Или если есть какие нить другие предложения по безопасности с paypal

об этом должны беспокоится они предоставля такой сервис. а про referer забуть

 

[Фанат]

а разве работа с paypal осуществляется не по Https?

 

[Apache_xp]

Конечно через https
а что мне мешает зайти telnet' ом на 443 порт и притвориться
paypal?

 

[si]

Apache_xp
куда на порт 443 ?

/me не работал с paypal, расскажи в 2х словах как там происходит общение

 

[Apache_xp]

Отсылается форма с заполненными данными на paypal
далее покупатель авторизуется на сайте paypal
авторизация это логин - в качестве него выступает
email ну и пассворд, заполняет сумму или она уже послана
в форме далее в случае успеха paypal пересылает на определенный сайт указанный в форме(которую мы переслали paypal) в случае отказа на другой сайт из формы.
т.е. если с paypal приходит user на сайт 1 ир мы верим paypal
(типа user заплатил) и делаем что то(какие то услуги)
так вот на бы повозможности знать, что узер пришел туда с paypal а не телнетом залез на 443 порт(https) и сделал что то не хорошее

 

[si]

поуму они должны эти данные подписывать и вы должны проверять что данные именно от них, так у нас работают интернет банки, иначе получается что любой дурак вызовет нужный урл и вы будете думать что деньги получили.

 

[Blindman]

если есть какие нить другие предложения по безопасности с paypal

предложения здесь

Автор оригинала: Фанат
а разве работа с paypal осуществляется не по Https?

Paypal допускает и http

 

[Bred Vilchec]

низя просто проверять какую-то пришедшую информацию.
Для PayPal, как я и для всех остальных ПС, необходимо при
получении информации о транзакции (отправляемой ПС
серверу продавца) брать только идентификатор этой сделки.
Уже потом, используя этот идентифкатор нужно коннектиться к серверу ПС и узнавать все данные о конкретной транзакции,
проверяя историю счета (в PayPal это называется IPN).
Достоверность полученных данных в этом случае гарантируется.

 

[Romantik]

этим страдают непродуманные алгоритмы магазинов, когда ставят статус оплачено просто приняв данные с платежной системы.

 

[Bred Vilchec]

Romantik
страдают люди, а не алгоритмы...

 

[Ямерт]

Автор оригинала: si
поуму они должны эти данные подписывать и вы должны проверять что данные именно от них, так у нас работают интернет банки, иначе получается что любой дурак вызовет нужный урл и вы будете думать что деньги получили.

У нас тоже так работают и-банки. Пока проблем не было. RSA рулит, однако
OFFTOP: уж не Hansapanka ли ты имел в виду?

 

[si]

OFFTOP: уж не Hansapanka ли ты имел в виду?

они как мне кажется это придумали, остальные тоже используют туже схему (теже поля и т.п)