Ämne: Apache och SSL
Visa ett inlägg
Oläst 2005-12-19, 15:00 #4
zorans avatar
zoran zoran är inte uppkopplad
Mycket flitig postare
  
Reg.datum: Jun 2004
Inlägg: 598
zoran zoran är inte uppkopplad
Mycket flitig postare
zorans avatar
 
Reg.datum: Jun 2004
Inlägg: 598
Citat:
Originally posted by heyday@Dec 19 2005, 15:51
Jag tycker det låter som en rent knasig idé att låta klienten själv bekräfta att den betalats hos er. Be kortföretaget slå på sidan istället.

Annars finns det så kallade self-signed sertifikat, de kostar ingenting och kan skapas av dig själv, men det genereras fortfarande en varning om att identiteten inte kan verifieras av en tredje part.

Jag vet inte vad som triggar varningen, men det borde vara att du lämnar DEN säkra anslutningen. när du gör på detta sätt, så borde man iaf få en varning om att man lämnar en ssl med ok certifikat, till en med self-signed. Men det här vet jag som sagt inget om.

Men att förlita sig på att klient-webbläsaren ska göra något för att bekräfta ett köp låter som riskabelt hursomhellst.
Nja, du verkar ju ha missupfattat. Det som inte registreras är i webbutikens kundsystem att köpet blev betalt. I självaste verket är det betalt. Det som är riskabelt är enbart för den som köper inte webbutiken.

Till topic. Jag tycker att din kund ska byta kreditkortsföretaget. Det är fånigt att en sån grej ska hänga på användaren. Superfånigt. Vet inte vad det är för nybörjare som sysslade med sånt. Det som förvånar mig är att såna nybörjare ska hantera kreditkortsnummer. *brr*.

Iallafall, jag integrerade nyligen en betallösning åt en kund i UK, som använder sig av worldpay. Det fungerar så att kunden, när den vill slutföra köpet, slussas till worldpays sida. Där fyller man i upgifter för kreditkort och så vidare. När betalningen är registrerad (som godkänd eller ickegodkänd), skickar worldpays _SERVER_, inte klientens browser, en request till en speciell callback servlet på min server, som identiferar requesten, verifierar att den är äkta, och sen godkänner eller avbryter ordern i vårt system beroende på svaret från kreditkortsföretaget. (nåja, inte "vårt" utan vår kunds).

Inga känsliga uppgifter passerar mellan worldpay och vår server, så vi behöver inte ens ha ett SSL-cert. Inte nog med det, utan vi kan också skräddarsy hur betalsidan ska se ut, och hur svaret efter betalningen ser ut för kunden.

(Och det här är deras minsta, enklaste och simplaste tjänst. Det finns mer avancerade och bättre).
zoran är inte uppkopplad   Svara med citatSvara med citat