Hov. Du er ikke logget ind.
DU SKAL VÆRE LOGGET IND, FOR AT INTERAGERE PÅ DENNE SIDE
Log Ind

Brist i e-butikker åbner for betalings-svindel

Side 1 ud af 1 (6 indlæg)
  • 1
Fra København
Tilmeldt 8. Aug 06
Indlæg ialt: 13
Skrevet kl. 12:02
Hvor mange stjerner giver du? :
Fra Helsingborg
Tilmeldt 26. Feb 06
Indlæg ialt: 2880
Skrevet kl. 13:14
Hvor mange stjerner giver du? :
Skræmmende! Det må være en af grundene til enten at lade en professionel lave sit site, eller kigge det efter.

Et spm. til de kloge herinde, hvordan "lukker" man de åbne felter?
Fra København N
Tilmeldt 16. Nov 05
Indlæg ialt: 51
Skrevet kl. 13:37
Hvor mange stjerner giver du? :
Man undgår situationen - fjern felterne.

Pris, dato, rabat ordninger etc er jo alt sammen noget der i forvejen kendes af systemet (sandsynligvis indtastet i en database) - der er slet ikke nogen grund til at sende de oplysninger via skjulte felter. Og slet ikke at bruge dem, når de kommer retur. Kunden bør kun indtaste; produkt, antal, betalings- og leveringsoplysninger.

Hvorfor folk gør det alligevel, aner jeg ikke.

Og desværre, er en "professionel"  ikke bedre nogle gange. Der er mange der ikke burde lave websider - men de er billige. Mange har den indstilling at "man skal kende koden for at vide det" - men det ses jo gang på gang, at med lidt fantasi, så er det ikke så svært at regne ud hvordan man kan misbruge et givent system.
Fra Horsens
Tilmeldt 5. Aug 05
Indlæg ialt: 111
Skrevet kl. 00:53
Hvor mange stjerner giver du? :
Jeg er ikke helt enig med dig Dennis.

De fleste af de betalingsgateways jeg kender til kræver at man har prisen liggende i et hidden field når man sender sin POST afsted til gateway''ets server...
Tilmeldt 20. Apr 07
Indlæg ialt: 16014
30% af profil udfyldt
Skrevet kl. 14:56
Hvor mange stjerner giver du? :
Dato: 18-09-2006 00:52:46
Forfatter: Peter F. Poulsen
Jeg er ikke helt enig med dig Dennis.

De fleste af de betalingsgateways jeg kender til kræver at man har prisen liggende i et hidden field når man sender sin POST afsted til gateway''ets server...



Det kan jeg bekræfte. De betalingssystemer jeg kender til, har også denne funktion. Vigtigt at bemærke er dog, at betalingssystemerne ikke KRÆVER at man medsender informationerne i et hidden field via POST, men at dette gøres for at kunne give brugeren en "kvittering" på købet på ens egen server, når man returnerer fra betalingen, og ikke gennem gateway''en.
Fra København N
Tilmeldt 16. Nov 05
Indlæg ialt: 51
Skrevet kl. 15:39
Hvor mange stjerner giver du? :
Jeg er uenig med at I er uenig med mig :)

Hvis det er en sikkerhedsbrist i webshoppen, der kan ændre prisen/dato etc, så er det sjusk.

At de fleste gateways bruger skjulte felter, for at vide hvad kunden skal betale vil jeg ikke se som en brist. Ja, kunden kan så betale 50,- istedet for 100. Men det er jo ikke en sikkerhedsbrist. Ligesom kunden kan få banken/PBS til at tilbageføre betalingen heller ikke er en sikkerhedsbrist.

Ligesom i det virkelige liv: Jeg tror næppe politiet gider at se på mig hvis jeg fisker 50,- frem i Netto når han spørger efter 100 kr.  Mon ikke bare jeg får besked på at betale de sidste 50 eller finde ud af hvilke vare jeg kan betale for og droppe resten.

Som en sidebemærkning: Nogle gateways tilbyder også et API, så man undgår at sende beløbet/ordreid etc via en GET/POST. "Post" giver bare mulighed for at betale uden serverside programmering.
Side 1 ud af 1 (6 indlæg)
Bliv gratis medlem pa Amino