https - referer gebruiken met iDEAL

[turbojohn]

Hoi,

Ik ben bezig met iDEAL-inbouw in een webshop.
Dit gebeurd middels ideal-basic.

2 veiligheidsproblemen die ik tegenkom:

- De urlSucces wordt via hiddenfiles meegezonden, dus is in de broncode te zien.
Een oplossing om dit te blokkeren?

- Ik vil via http_referer controleren op afkomst. Helaas maakt ideal gebruik van een https-server.
Ik heb me gek gezocht op internet en kwam daar op een gegeven moment een thread tegen waarin werd verteld dat een browser geen https-adres meegeeft, dus je gebruik moet maken van .htacces.
Ik heb daar zeer weinig ervaring mee, iemand een idee hoe dat moet?

Greets en alvast bedankt! :thumb:

 

[flitsflitsflits]

- Waarom zou je het willen blokkeren? Op de url achter urlSucces moet jij ervoor zorgen dat je aan de hand van de teruggestuurde informatie (icm de informatie die de klant op jouw site heeft achtergelaten) het een en ander kunt verifiëren. Als een gebruiker rechtstreeks naar urlSucces gaat ontbreekt die informatie en moet er een foutmelding op het scherm komen.

- Een referer is niet verplicht en daarnaast te vervalsen, dus ook hierbij vraag ik me af waarom je zou willen weten waar de klant vandaan komt. Hoewel ik zelf nooit met ideal heb gewerkt, ga ik er vanuit dat de bank - na een betaling - iets van een id of hash terugstuurt die je dan zelf verder kunt verwerken in het systeem. Die id/hash moet daarom aan de basis staan van de controle en niet een referer.

 

[turbojohn]

Hoi,

Het probleem is met iDEAL, je hebt een basic en een advanced versie.
In basic wordt via <input type="hidden"> een urlSucces gestuurd naar ideal.
Als de betaling rond is, wordt daar naar terug gestuurd.
Het probleem is, dat er op de site niet gekeken kan worden of de betaling echt rond is.
Je moet dus zelf een url-ok aanmaken en teruggeven.
Helaas is deze te zien in de bron.
Dus als je die kopieert, denkt de website dat de betaling rond is en vinkt af.
Met de advancedversie kun je veel meer, daar kun je alles zelf aanmaken en via functies versturen. Maar de klant wil perse basic.

Heb je een idee hoe je dat verificatieprobleem kan omzeilen met sessies?
Want volgens mij moet je dan de gegevens alsnog via die hidden-file versturen en dan is deze nog makkelijk te kopieren.

Groet, TJ

 

[flitsflitsflits]

Ik heb even gegoogled naar ideal basic en zo kwam ik bij een stukje documentatie terecht (iDEAL_Basic_NL.pdf) Ik zie daarin inderdaad (zie hoofdstuk 6) dat je de UrlSuccess en UrlCancel (betaling ok, betaling geannuleerd) kunt meesturen, maar ik lees óók dat het mogelijk is om het van te voren in te stellen:

Deze URLs kunnen worden ingevoerd in het iDEAL Dashboard, of bij iedere transactie worden meegegeven als variabelen.

En daarmee is je eerste vraagstuk in principe opgelost, want als jij (of je opdrachtgever) de juiste url instelt in het dashboard, hoef je het niet meer mee te sturen.

Dan het tweede vraagstuk, ik verwijs hiervoor meteen naar hoofdstuk 7 in de documentatie:

Als uw website vereist dat de transactie status geautomatiseerd kan worden opgehaald, dient u te integreren via iDEAL Advanced

Het is dus niet mogelijk om het, met basic, helemaal te automatiseren maar misschien kan het met een tussenstap door de xml notificatie te verwerken. Helaas staat er geen voorbeeld van zo'n xml in het document dus dat weet ik niet zeker.