[freakalis]

Jag har skapat en e-handelslösning till en kund. När man betalar kommer man till en https skyddad sida hos kortbetalningsföretaget.

När man sedan genomfört köpet skall man skickas tillbaka till kundens sida. Men då får man upp en ruta om att man flyttas till en osäker anslutning. Trycker man här nej så kommer man inte tillbaka till kundens sida. Då registreras inte köpet som betalt men pengar dras från den som handlar.

Kan man lösa detta genom att installera ett ssl certifikat på kundens webserver? Är det svårt? Måste man betala för ett certifikat?

[hnn]

Du kan betala för certifikat som gäller i dom flesta webläsare (tex. Verisign) eller använda tex. CaCert (www. cacert . org). Detta får du upp en ruta som talar om att certifikatet inte är signerat av en betrodd utfärdare.

[heyday]

Jag tycker det låter som en rent knasig idé att låta klienten själv bekräfta att den betalats hos er. Be kortföretaget slå på sidan istället.

Annars finns det så kallade self-signed sertifikat, de kostar ingenting och kan skapas av dig själv, men det genereras fortfarande en varning om att identiteten inte kan verifieras av en tredje part.

Jag vet inte vad som triggar varningen, men det borde vara att du lämnar DEN säkra anslutningen. när du gör på detta sätt, så borde man iaf få en varning om att man lämnar en ssl med ok certifikat, till en med self-signed. Men det här vet jag som sagt inget om.

Men att förlita sig på att klient-webbläsaren ska göra något för att bekräfta ett köp låter som riskabelt hursomhellst.

[zoran]

Citat:

Originally posted by heyday@Dec 19 2005, 15:51
Jag tycker det låter som en rent knasig idé att låta klienten själv bekräfta att den betalats hos er. Be kortföretaget slå på sidan istället.

Annars finns det så kallade self-signed sertifikat, de kostar ingenting och kan skapas av dig själv, men det genereras fortfarande en varning om att identiteten inte kan verifieras av en tredje part.

Jag vet inte vad som triggar varningen, men det borde vara att du lämnar DEN säkra anslutningen. när du gör på detta sätt, så borde man iaf få en varning om att man lämnar en ssl med ok certifikat, till en med self-signed. Men det här vet jag som sagt inget om.

Men att förlita sig på att klient-webbläsaren ska göra något för att bekräfta ett köp låter som riskabelt hursomhellst.

Nja, du verkar ju ha missupfattat. Det som inte registreras är i webbutikens kundsystem att köpet blev betalt. I självaste verket är det betalt. Det som är riskabelt är enbart för den som köper inte webbutiken.

Till topic. Jag tycker att din kund ska byta kreditkortsföretaget. Det är fånigt att en sån grej ska hänga på användaren. Superfånigt. Vet inte vad det är för nybörjare som sysslade med sånt. Det som förvånar mig är att såna nybörjare ska hantera kreditkortsnummer. *brr*.

Iallafall, jag integrerade nyligen en betallösning åt en kund i UK, som använder sig av worldpay. Det fungerar så att kunden, när den vill slutföra köpet, slussas till worldpays sida. Där fyller man i upgifter för kreditkort och så vidare. När betalningen är registrerad (som godkänd eller ickegodkänd), skickar worldpays _SERVER_, inte klientens browser, en request till en speciell callback servlet på min server, som identiferar requesten, verifierar att den är äkta, och sen godkänner eller avbryter ordern i vårt system beroende på svaret från kreditkortsföretaget. (nåja, inte "vårt" utan vår kunds).

Inga känsliga uppgifter passerar mellan worldpay och vår server, så vi behöver inte ens ha ett SSL-cert. Inte nog med det, utan vi kan också skräddarsy hur betalsidan ska se ut, och hur svaret efter betalningen ser ut för kunden.

(Och det här är deras minsta, enklaste och simplaste tjänst. Det finns mer avancerade och bättre).

[zoran]

Citat:

Originally posted by zoran@Dec 19 2005, 16:00

Nja, du verkar ju ha missupfattat. Det som inte registreras är i webbutikens kundsystem att köpet blev betalt. I självaste verket är det betalt. Det som är riskabelt är enbart för den som köper inte webbutiken.

Ah och nu fattar jag förstås vad du menade (dumma mig). Om kunden kan låta bli att bekräfta betalningen, så kan kunden också bekräfta betalningen fast ingen är gjord. Det som kan finnas som skydd (fast foga troligt med tanke på amatörnivån) är att man erhåller en checksumma som skickas med bekräftelsen som ett slags lösenord.

[freakalis]

För att förtydliga. Om kunden väljer att inte gå till den osäkra ( kunden sida) så kommer pengar att dras men ordern kommer inte att bokas av som betald i vårt system. Ingen orderbekräftelse kommer heller skickas till den som lagt ordern.

[zoran]

Citat:

Originally posted by freakalis@Dec 19 2005, 16:09
För att förtydliga. Om kunden väljer att inte gå till den osäkra ( kunden sida) så kommer pengar att dras men ordern kommer inte att bokas av som betald i vårt system. Ingen orderbekräftelse kommer heller skickas till den som lagt ordern.

Precis, det var så jag fattade.