עבור לתוכן

Featured Replies

פורסם
ציטוט של eido300

איך אפשר “להקשיח” את השרת? שלא יהיה חשש לפריצה בקלות (ברור שאם באמת ינסו תמיד יצליחו, אבל לפחות שיעמוד טוב מול בוטים ו”סקריפט קיד”)

בחומת אש (Firewall), אתה צריך לחסום את פורט 8090 לכל אייפי למעט האייפי הקבוע שלך.

אתה צריך לבקש מהספקית אינטרנט שלך אייפי קבוע, זה עולה 15 ש”ח לחודש.

לגבי החומת אש, היא צריכה להיות בממשק של חברת האחסון ב-Hetzner ולא מה שמותקן בשרת.

אותו דבר לעשות לפורט 22 שהוא ה-SSH.

לגבי האתר עצמו, לפי פוסטים קודמים שלך פה בפורום, האתר בנוי מעמוד סטטי ככה שאין חשש לפריצה בכיוון הזה.

תחום האבטחה הוא תחום רחב, כדאי לחפש בגוגל מידע ולהרחיב את הידע.

למשל, לפי האיגוד האינטרנט הישראלי, לא חידשת את הדומיין. אי-חידוש הדומיין בזמן יגרום לכך שהדומיין יכול להירשם ע”י מישהו אחר, ובעצם כאן אני יכול לגלות לך שיש בוטים שמזהים דברים כאלה “וגונבים” דומיינים ברחבי הרשת.

stamandsefer

פורסם
  • מחבר
ציטוט של Jabberwock

לגבי האתר עצמו, לפי פוסטים קודמים שלך פה בפורום, האתר בנוי מעמוד סטטי ככה שאין חשש לפריצה בכיוון הזה.

תחום האבטחה הוא תחום רחב, כדאי לחפש בגוגל מידע ולהרחיב את הידע.

נכון לעכשיו, אבל יש לי תכנונים חדשים לאתר, יתכן אפילו יצטרכו לעבור דרכו פרטי אשראי בAPI כזה או אחר (אני לא מתכוון לשמור שם פרטי אשראי, רק להפעיל דרכו API של סליקת אשראי, מה שמחייב שהפרטים לפחות יגיעו לשרת). לכן אני צריך שהוא יהיה יותר רציני.

פורסם

שאתה עושה שימוש באינטגרציית סליקת פרטי אשראי, לרוב יבקשו ממך להכניס תגית iframe בתוך הדף.

או לבצע redirect, ישירות לאתר הסליקה. זאת גם אפשרות.

אתה צריך למנוע כניסה לאתר ללא הצפנה באמצעות redirect מ-http ל-https.

באתר של דף נחיתה לביצוע רכישה ומילוי פרטים, וללא חברות באתר, אתה צריך לעשות שימוש ב-recaptcha כדי למנוע בוטים.

נניח ואתה עושה שימוש ב-PayPal, השיטה היא באמצעות Instant Payment Notification (IPN) שלהם.

בטופס באתר אצלך אתה מעביר ביחד עם הבקשה ל-PayPal משתנה custom. זה יכול להיות מזהה ייחודי (ID) של המידע ששמרת על הקנייה במסד הנתונים.

השרת שלהם שולח לך בקשת POST לעמוד ה-IPN באתר שלך. ברגע שאתה מקבל את הבקשה אתה מאמת את הפרטים באמצעות שליחת בקשה לשרת שלהם, אפשר להשתמש ב-curl.

אם הבקשה צלחה וקיבלת VERIFIED. באמצעות המזהה הייחודי במשתנה ה-custom אתה מאתר את הפרטים ששמרת קודם במסד הנתונים, ומעדכן את הסטטוס של הרכישה למאומת.

פרטי אשראי לא מועברים דרכך בשום שלב. אתה יכול לקבל אימייל, את שמו המלא, כתובת, כמה שילם וכו’.

אתה צריך גם לעשות שימוש נכון בפונקציות של המסד נתונים, למנוע SQL INJECTION.

פורסם
  • מחבר
ציטוט של Jabberwock

שאתה עושה שימוש באינטגרציית סליקת פרטי אשראי, לרוב יבקשו ממך להכניס תגית iframe בתוך הדף.

או לבצע redirect, ישירות לאתר הסליקה. זאת גם אפשרות.

אתה צריך למנוע כניסה לאתר ללא הצפנה באמצעות redirect מ-http ל-https.

באתר של דף נחיתה לביצוע רכישה ומילוי פרטים, וללא חברות באתר, אתה צריך לעשות שימוש ב-recaptcha כדי למנוע בוטים.

נניח ואתה עושה שימוש ב-PayPal, השיטה היא באמצעות Instant Payment Notification (IPN) שלהם.

בטופס באתר אצלך אתה מעביר ביחד עם הבקשה ל-PayPal משתנה custom. זה יכול להיות מזהה ייחודי (ID) של המידע ששמרת על הקנייה במסד הנתונים.

השרת שלהם שולח לך בקשת POST לעמוד ה-IPN באתר שלך. ברגע שאתה מקבל את הבקשה אתה מאמת את הפרטים באמצעות שליחת בקשה לשרת שלהם, אפשר להשתמש ב-curl.

אם הבקשה צלחה וקיבלת VERIFIED. באמצעות המזהה הייחודי במשתנה ה-custom אתה מאתר את הפרטים ששמרת קודם במסד הנתונים, ומעדכן את הסטטוס של הרכישה למאומת.

פרטי אשראי לא מועברים דרכך בשום שלב. אתה יכול לקבל אימייל, את שמו המלא, כתובת, כמה שילם וכו’.

אתה צריך גם לעשות שימוש נכון בפונקציות של המסד נתונים, למנוע SQL INJECTION.

כרגע יש לי API שאני רוצה לממש שם:

של יש חשבונית ושל UPAY

יש חשבונית לא ברור לי עדיין איך מחייבים שם כרטיס אשראי, מחכים עדיין לתגובה מהשירות לקוחות, הכי הרבה שמצאתי שם זה לחייב דרך טוקן. אבל בכל מקרה זה API שמצריך אותי לשלוח בקשת POST רגילה.

ולUPAY בכלל אין API אני רוצה לעשות קומבינה שהשרת כאילו ימלא דף תשלום בפרטי אשראי ואז ילחץ על הכפתור תשלום וזה בעצם יחייב, עשיתי אב טיפוס בC# דרך httpclient וזה עובד מצוין, צריך לראות איך עושים את זה בשרת. העניין הוא שאני לא יודע כמה זה בטיחותי מבחינת אבטחת מידע, לכן אני עוד לא מתקדם עם זה.

בכלל כל הסיפור הזה הוא לתת את האפשרות לחייב כרטיס דרך הטלפון, לחברה מסויימת יש מערכת ivr מטורפת שדרכה אפשר לשלוח בקשות get וpost, אז אני צריך את השרת שלי בתור שרת מקשר שאליו יגיעו הנתונים מהivr והוא יבצע את החיוב מול חברת האשראי.

פורסם

אני לא בטוח שזה הפתרון הזה. אתה צריך סליקה באינטרנט. למשל טרנזילה, ריווחית ודומיהן:

https://www.tranzila.com/

https://www.icredit.co.il/

ותוכל לחפש בגוגל “סליקת אשראי וורדפרס” לחיפוש תוספים מוכנים לסליקה למערכת וורדפרס.

למרות מה שכתבתי על PayPal, וכבר עשיתי ובניתי אינטגרציה כזאת ל-2 מערכות, אני חושב שעדיף פתרון אחר שלוקח פחות עמלות.

פורסם
  • מחבר
ציטוט של Jabberwock

אני לא בטוח שזה הפתרון הזה. אתה צריך סליקה באינטרנט. למשל טרנזילה, ריווחית ודומיהן:

https://www.tranzila.com/

https://www.icredit.co.il/

ותוכל לחפש בגוגל “סליקת אשראי וורדפרס” לחיפוש תוספים מוכנים לסליקה למערכת וורדפרס.

למרות מה שכתבתי על PayPal, וכבר עשיתי ובניתי אינטגרציה כזאת ל-2 מערכות, אני חושב שעדיף פתרון אחר שלוקח פחות עמלות.

בעקרון אתה צודק, אבל נכון לעכשיו אני צריך את שתי אלו.

לכן אני מחפש דרך לעשות את זה בצורה בטוחה.

אגב, במערכת הivr שאני עובד איתה, כבר יש התממשקות עם המון חברות אחרות ככה שאיתם לא צריך שרת מקשר, אני צריך ספיציפית לאלו.

  • 2 שבועות מאוחר יותר...
פורסם
  • מחבר
ציטוט של Jabberwock

בחומת אש (Firewall), אתה צריך לחסום את פורט 8090 לכל אייפי למעט האייפי הקבוע שלך.

אתה צריך לבקש מהספקית אינטרנט שלך אייפי קבוע, זה עולה 15 ש”ח לחודש.

לגבי החומת אש, היא צריכה להיות בממשק של חברת האחסון ב-Hetzner ולא מה שמותקן בשרת.

אותו דבר לעשות לפורט 22 שהוא ה-SSH.

לגבי האתר עצמו, לפי פוסטים קודמים שלך פה בפורום, האתר בנוי מעמוד סטטי ככה שאין חשש לפריצה בכיוון הזה.

תחום האבטחה הוא תחום רחב, כדאי לחפש בגוגל מידע ולהרחיב את הידע.

למשל, לפי האיגוד האינטרנט הישראלי, לא חידשת את הדומיין. אי-חידוש הדומיין בזמן יגרום לכך שהדומיין יכול להירשם ע”י מישהו אחר, ובעצם כאן אני יכול לגלות לך שיש בוטים שמזהים דברים כאלה “וגונבים” דומיינים ברחבי הרשת.

stamandsefer

איך השירות החינמי שלהם? אני חושש כרגע לעשות IP קבוע דרך חברת התקשורת כי אני מצפה בקרוב לעבור חברת תקשורת, ואני מפחד להתקע מחוץ לאתר…

וכן, אני לא יודע איך זה יעבוד עם נטפרי.

פורסם
ציטוט של eido300

ואני מפחד להתקע מחוץ לאתר

אתה מתכוון להוספת חוק חסימת פורט בחומת אש? בגלל זה רשמתי להשתמש בחומת האש שבממשק של חברת האחסון, לא משהו תוכנתי בפנים השרת.

לא מכיר את השירות no-ip. לפי מה שהבנתי אין קשר. זה שירות שפשוט נותן DNS חינמי.

הצטרפ/י לדיון

בשלב זה תוכל/י להצטרף לדיון, ולאחר מכן להצטרף לקהילה שלנו. אם כבר יש לך חשבון אצלנו, אנא התחבר/י עכשיו על מנת להגיב תחת שם המשתמש שלך.
לתשומת לבך: התגובה תופיע לגולשים לאחר אישור של צוות הנהלת הפורומים.

אורח
הוסף תגובה

דיונים חדשים