Системы оплаты

ты собрался делать процессинг на коленке без опыта?:)

Бери лучше готовый сервис. Я недавно столкнулся с robokassa.ru, мне понравился с точки зрения юзера. Ну и более других полно.

Нет, мне уже компания сказала как правильно. Я с них офигеваю, эту систему обмануть как два пальца, простите. Хочу посмотреть где-то как все-таки правильно это делается

И да, я не сервер процессинга, я как бы сайт-клиент системы оплаты.

мне уже компания сказала как правильно. Я с них офигеваю, эту систему обмануть как два пальца, простите.

тут или компания такая, или ты заблуждаешься.

можешь показать их схему? ну, без подробностей даже, просто саму схему?

Это вообще фриланс заказ, они пихают свою форму с ID покупки в iframe моей HTTPS страницы. Там что-то делают, потом редиректят внутри iframe на страницу моего домена с ID и статусом типо success.

Это шутка? Сам с payment компанией напрямую не общался, испорченый телефон? А если пользователь возьмет и пришлет мне success, в чем здесь вообще безопасность? Сижу, офигеваю.

систему кстати не обмануть, там же отлуп от биллинга будет и результат ты не получишь

ох лол, беги оттуда

вообщем калашников тебе правильный совет дал. не надо изобретать велосипед

Моя ставка на испорченый телефон

Вот и не хочу, как надо правильно? Суть в том что можно им предложить. Я ожидал бы хоть какой-то transactionId, по которому уже наш сервер мог бы по SSL с клиентской и с серверной автентификацией у них узнать статус покупки

непонятно, что там вообще за проект, требования и тд, но начни с робокассы и тд. там вообще все просто

[Посоветуйте] Прикрутить оплату через пластик на сайт вот тут еще немного вариантов

А, посмотрел робокассу. Там контрольная сумма навешивается смешаная с паролем продавца, ну это хоть что-то. А то фейл какой-то. Спасибо

Там контрольная сумма навешивается смешаная с паролем продавца, ну это хоть что-то.

на этом рынке крутится столько денег, что с безопасностью все ок.
вон я писал в том треде, аэрофлот процессился у ассиста раньше - все нормально с надежностью и безопасностью.
ну, заддосили их как-то но это никакого отношения не имеет.

кроме робокассы еще есть, погугли отзывы.

это какой-то упрощеный вариант для бедных, скорей всего. типа без сервера.

А какие недостатки такой схемы?

ну вообще толковый мануал есть у пейпала. хоть и не по картачкам, но какая нафиг разница. там файт оплаты нужно (обычно) проверять запросом на пейпал передавай paykey (который тебе даёт пейпал). и они тебе отдадут инфу по пейменту (типа статус, амаунт и прочую лабуду).

во всех системах, тебе выдаётся ещё и токен, шифрованный ключем, известным тебе и системе, и дальше ты по этому токену можешь определять действительно ли заказ прошёл. Как вариант, система должна пинать сама левую страницу (которую указываешь ты), с так же подписанными данными.

Это то, что мне пришло сразу в голову. Но на первый взгляд решение робокассы лучше тем, что оно не ограничивает масштабируемость сервера продавца исходящими запросами. Но при этом я не вижу недостатков, пароль секретный, он замешан с данными необратимым хешем, достаточно его вычислить и сравнить.

Кроме кражи пароля персоналом сайта продавца и совершением с помощью него покупок путем замены failed на success

http://ru.wikipedia.org/wiki/3-D_Secure

Самый адекватный способ.

Нет, мне уже компания сказала как правильно. Я с них офигеваю, эту систему обмануть как два пальца, простите. Хочу посмотреть где-то как все-таки правильно это делается

Эти карты вообще ненадёжны. Достаточно знать 19 цифр и заказывай что хочешь. Сейчас прибегут те кто скажет что всё легко отследить и мошенника сразу найдут. А вот нифига. Оплата по 19 цифрам принимается по телефону - не важно откуда звонишь, из телефона автомата например, а так же online - здраствуй wifi вблизи любого ресторана, гостиницы, подъезда. Помнится была статья только по одной какой то области выявлено за год несколько тысяч случаев только в одном банке. Любой официант может выписать эти цифры, а т.к. официанты все бедные они не приминут это сделать. Поэтому всегда и плачу наличными. Дать знать кому то этот номер - аналогично дать ключи от сейфа и сказать - возьми там 50 рублей за сок и закрой, причём ключи остаются у них.

это тут вообще ни при чем

ознакомься, чудик http://ru.wikipedia.org/wiki/3-D_Secure

Ознакомился, придурок. И как это помешает официанту выписать 19 цифр с карты к себе в блокнот для заказов по телефону?

man 3-D Secure.

И как это помешает официанту выписать 19 цифр с карты к себе в блокнот для заказов по телефону?

они будут для него бесполезны.
если бы ты действительно ознакомился, то не задавал такие странные вопросы

Я всё прочитал по ссылке. Вы имеете ввиду что ответственность несёт банк выпустивший карту а не тот кто принял платёж? Я вот не уверен что банк захочет так просто вернуть деньги на карту хоть он и несёт ответственность. Так любой может назвонить в секс по телефону а потом придти в банк и сказать что это не он и вернуть деньги. Какое вообще описание XML-протокола имеет отношение к тому факту что 19-цифр это ключ ко всем средствам хранящимся на карте и этот ключ может узнать кассир или официант.

там в первую очередь речь идет о дополнительной аутентификации. то есть тебе номера карты, даты экспайра и cvv будет недостаточно для совершения платежа

Там была ссылка на русскую вики в которой ничего толком не написано. Щас посмотрел перевод на английский, вот там действительно написано что для совершения покупки online требуется пароль выданный банком. Только вот у многих ли есть такие карты с паролем? Я первый раз о таком слышу. Нигде в формах оплаты не видел поля для ввода пароля.

Он приходит отдельно, причем некоторые предлагают выбрать между кодом с доп. карточки или получением одноразового кода в СМС.

Я первый раз о таком слышу. Нигде в формах оплаты не видел поля для ввода пароля.

что еще раз показывает твою осведомленность.
поля в первоначальной форме вбива и нет, оно потом появится