PayPal bouton Acheter sécurité


Paypal est un processeur de paiement en ligne très populaire qui permet presque ne importe qui d'envoyer et de recevoir de l'argent en ligne. E 'a été popularisé comme une plate-forme de paiement de l'utilisateur eBay dans les fin des années 90 et a gagné en popularité auprès du grand eBay et au-delà comme eBay est utilisé sur de nombreux sites en ligne. Paypal fournit le code html qui permet aux utilisateurs de faire des achats boutons personnalisables sur leurs sites Web pour vendre des biens et services et immobilisations corporelles. Avec la plupart de codage HTML et le rendu sur le côté client, les informations de paiement associé à un bouton de paiement est facilement visible à toute personne qui décide de voir la source de la page Web contenant le bouton de paiement.

Au bas de cette page, vous serez en mesure de télécharger un script du bouton Acheter maintenant travailler à utiliser sur votre site avec un seul produit. Le script nécessite PHP.




Ce qui est en péril dans votre bouton PayPal

Regardons cette PayPal Acheter maintenant le code du bouton échantillon:

Certaines des informations de paiement visible à partir du bouton d'achat Paypal sont prix, nom de l'article, e-mail au vendeur, le prix, et la monnaie pour ne en nommer que quelques-uns. Maintenant, ces variables ne sont pas en eux-mêmes un énorme risque de sécurité, au-delà des courriels non sollicités potentiels qui peuvent être reçus si un quelqu'un copie votre adresse e-mail à partir du code source html. Si vous vendez un bien ou un service tangible, vous auriez bien sûr se assurer que le paiement a été reçu en entier avant de remplir un ordre ou d'un service. La sécurité de ce type de bouton de paiement est au vendeur de vérifier le paiement avant de remplir la commande. Ce est une configuration tout à fait sûr, mais ça commence à être un peu anonyme, quand il se agit d'actifs incorporels.

Recommandé

Les marchandises immatériel et PayPal Boutons

Jetons maintenant un oeil à un code de bouton Acheter typique utilisée pour vendre un bien immatériel:

Comme avec le code du bouton précédente il ya des variables qui peuvent être considérés comme le prix, l'adresse e-mail vendeur, nom de l'élément, et la monnaie. Il ya d'autres variables qui peuvent être inclus pour faciliter l'acheminement des acheteurs pour télécharger un acheté ou si le paiement est effectué ou le dos à une page différente des sites vendeurs si le paiement est annulé. Ces variables, et le retour cancel_return ont pour but de faire passer le client.

Le principal problème avec l'achat des touches entre en jeu lorsqu'une personne vend un bien immatériel. La nature de la vente des actifs incorporels, tels que des ebooks ou des logiciels, ce est que la livraison de fichiers doit avoir lieu assez rapidement après réception du paiement. Ce est une bonne pratique, en tant que commerçant et a un excellent service à la clientèle, car un client recevant ce qu'ils ont payé est immédiatement moins susceptibles de panique et la suspicion de leur achat.

Cette livraison immédiate des actifs incorporels sont exécutés à partir d'un site Web de script ou le bouton Paypal lui-même. Habituellement, le lien de téléchargement est mis sur le «Merci» page ou l'URL de renvoi, l'acheteur est envoyé par Paypal après le paiement est terminé. Je espère que vous pouvez voir le problème de sécurité héritera pas avec ce type de système. Le retour URL, comme je le disais avant, vous pouvez voir le code html, si un acheteur pourrait facilement il suffit de regarder le code dans la page et voir le retour URL et aller directement à cette page et obtenir le ebook ou logiciel gratuitement.

Voici comment Paypal Achat immédiat boutons ont été compromis dans le passé. Je dis le passé parce que je pense et je espère que la plupart des commerçants ont corrigé ce défaut d'avoir un mécanisme en place qui vérifie pour se assurer que l'acheteur est venu à «Merci» page directement par PayPal. Maintenant, nous avons tout le problème de sécurité résolu bouton PayPal. Mal, nous ne sommes même pas près de protéger nos ebooks et des logiciels. Alors que certains webmasters ont mis en place le mécanisme proposé pour vérifier que l'acheteur a été envoyé à la page de téléchargement de PayPal, ne est pas vraiment une protection suffisante.

Comment pouvez-vous faire arnaquer?

Quand une personne avec de mauvaises intentions découvre qui vont directement sur votre page de remerciement (retour URL), ne permet pas l'accès gratuit à télécharger, parce que nous y sommes allés directement sans passer à PayPal, viens de recevoir une information précieuse sur votre système sécurité. Qu'est-ce que un gars mauvaise entreprenante faire?

Le méchant des ressources fera l'une des deux choses pour se déplacer sur le bouton de sécurité PayPal.

Option 1:

Ils vont utiliser le bouton pour commencer à effectuer un paiement. Cette définir un cookie de session sur votre ordinateur qui peut lire votre site pour montrer que une séance de shopping a eu lieu. Mais au lieu de remplir effectivement l'achat, aller directement à partir de PayPal à votre URL de retour et obtenir le meilleur ebook de vente gratuitement.

Comment cela se fait?

Certains du mécanisme des modèles que je ai mentionné plus tôt pour déterminer si un acheteur a été envoyé à l'arrière de PayPal est l'utilisation de cookies de session. Bien que les cookies sont au-delà de la portée de cet objectif, je vais vous dire en particulier que les cookies de session avec PayPal communiquer avec un site Web vendeurs. Le cookie de session sera mis à seul achat de PayPal lorsque vous lancez un achat. Malheureusement, pas un achat à remplir pour l'achat de cookie de session de rester actif dans le navigateur des utilisateurs. Certains webmasters contrôlent pour la page de référence et/ou les cookies de session d'achat pour vérifier que le vendeur venu de PayPal. Alors que le parrain ne peut pas être facilement falsifiée, l'achat de cookie de session peut être généré sans paiement.

Option 2:

Ce est de loin la plus populaire, et si vous ne faites pas attention, vous obtiendrez volé aveugle par cela. Au lieu de faire semblant de faire un paiement pour les meilleures ventes d'ebook, le voleur ne fait effectivement un paiement pour beaucoup moins que le prix fixé (généralement de 1 cent). Paypal accepte le paiement et l'envoyer à l'acheteur d'obtenir leur copie de votre ebook. La chose est que PayPal ne contrôle pas les prix, de sorte qu'ils ne sais pas si votre ebook est vendu pour $ 100,00 USD ou $ 0,01 USD. PayPal accepte le prix qui est envoyé au produit et utilisera toutes les variables incluses dans le code du bouton. Pour ajouter l'insulte à l'injure une mauvaise changer aussi le vendeur d'adresse e-mail dans le code du bouton et vous ne aurez même pas un sou pour le téléchargement. Encore une fois parce PayPal va seulement pour se assurer que l'adresse électronique du destinataire est un compte PayPal valide et traiter le paiement et toutes les variables code clé comme normal. Cela rend cette astuce très efficace pour les sites qui ne protègent pas suffisamment leurs boutons PayPal.

Comment cela se fait?

Il est facile de voir et copier le bouton d'une page Web simplement en visualisant la source, et ce est ce qui va faire un voleur. Ils copient le code du bouton et de le mettre sur leur site Web, sauf qu'ils vont changer le prix pour quelque chose comme 0,01 pour obtenir le téléchargement pour un sou. Le voleur sera également modifier les variables et revenir cancel_return comme ceci:

Original:

Utilisé à la place:

Le voleur doit ajouter le nom de domaine complet, de sorte que Paypal les rediriger vers le retour correct après paiement, sinon le code du bouton d'origine enverrait le mauvais page 'thank_you.htm' sur son site Internet.

Bien que ces deux méthodes sont utilisées, le plus dangereux est la deuxième option, car il se comporte exactement comme un achat légitime, même si vous êtes toujours massivement victime d'une fraude.

Comment protéger votre boutons Acheter?

Vous ne pouvez pas vraiment empêcher quiconque de retirer et Option tâtons 1 ou 2 ci-dessus. Option 1 ne peut pas être arrêté, parce que PayPal est responsable pour le cookie de session, le seul espoir est de mettre en place de meilleurs outils de contrôle de la variable de retour fournie par Paypal. Option 2 ne peut pas être arrêté, parce que ce est un paiement légitime (même si ce est un échec) et vous ne pouvez pas empêcher quiconque de copier le code du bouton.

Ce est la nature de la garantie (plutôt un manque de sécurité) dans un côté client de navigation. Côté client qui signifie processus et les fonctions qui ont lieu sur les utilisateurs locaux de la machine et directement dans votre navigateur. La vraie sécurité est sur le serveur. Côté serveur-à-dire les processus et les fonctions qui ont lieu à distance sur le serveur du site que vous visitez. La mise en œuvre du côté serveur empêche l'accès non autorisé à des méthodes côté client.

Fonctions nécessitent l'utilisation de script côté serveur tels que .php pour gérer le contenu dynamique et prendre des décisions fondées sur des données qui sont envoyées. HTML ne peut pas être utilisé pour des fonctions côté serveur parce que le HTML est statique et est fondamentalement juste de se rendre au navigateur, où PHP peut traiter des données et la sortie HTML au navigateur.

Ce un bon webmaster faire pour protéger leurs actifs incorporels par des voleurs est d'ignorer la vérification et de referrer cookie de session contrôle en faveur de sa propre construite dans la vérification de paiement. Personnellement, comment rediriger mes PayPal boutons Acheter pour mon site Web pour vérifier que toutes les variables sont exacts (et les changer se ils ne sont pas) avant de l'envoyer à l'acheteur de PayPal.

Donc, l'écoulement d'un acheteur de faire un achat via mon bouton Acheter maintenant pourrait être:

1. L'acheteur clique sur le bouton et non envoyé https://www.paypal.com/cgi-bin/webscr le code du bouton

. Au lieu de cela sont envoyés à quelque chose comme http://www.mysite.com/paypal_verify.php.

2. Une fois la page http://www.mysite.com/paypal_verify.php, je dois vérifier mon script paypal_verify.php le prix réel et le vendeur e-mail, et de faire des corrections si nécessaire. Les variables sont modifiées cancel_return retour et les valeurs réelles et ne sont pas visibles de l'acheteur avant de compléter l'achat. Le prix, le vendeur e-mail, le retour et cancel_return sont stockées dans la même page paypal_verify.php.

3. Une fois le prix et le vendeur e-mail ont été vérifiées et mises à jour, ce qui enverra automatiquement à l'acheteur de PayPal avec un nouveau bouton Acheter généré dynamiquement et envoie automatiquement PayPal. Cela crée une expérience transparente pour l'acheteur et vous obtenez de PayPal prêt à payer le montant exact au vendeur correcte.

Ce prix national de contrôle assure que même si un voleur crée son propre bouton PayPal, devra passer à travers ma page paypal_verify.php pour vérification avant d'être envoyé à PayPal. Même si le voleur change le prix sur le bouton, il sera corrigé avant qu'ils ne atteignent PayPal.

Un code du bouton protégé utilisant ce schéma pourrait ressembler à ceci:

(Vous pouvez omettre cette ligne tous ensemble)

(Vous pouvez omettre cette ligne tous ensemble)

(Vous pouvez omettre cette ligne tous ensemble)

(Vous pouvez omettre cette ligne tous ensemble)

Un code du bouton encore plus sûr devrait ressembler à ceci:

Pourquoi envoyons-nous le prix, le vendeur e-mail, le retour et cancel_return variable à partir de notre script, nous pouvons laisser ces lignes de code du bouton et laisser notre script créer cela pour nous. Cela garantit que le montant du paiement est correct et est payé à la bonne personne et que le retour URL est correcte après le paiement a été reçu. Tout ceci en fait un flux de paiement sûr au moins au début de l'opération.

Je sais que vous pensez que votre bouton Acheter est enfin l'épreuve des balles. Eh bien, ce est ... plus ou moins. Le seul inconvénient de ce système est que l'utilisateur est renvoyé à l'URL après le paiement. Pour un acheteur qui n'a jamais fait un achat via votre site ne est pas une grosse affaire, mais pour un voleur qui peut décider de faire un petit paiement pour légitime trouver votre déclaration de page peut être un problème. Une fois que le voleur a correctement votre URL de retour, peut revenir à créer leurs propres boutons Acheter et les soumettre directement à PayPal et revenir à votre URL retour correct. Oui, il vous en coûtera de l'argent pour obtenir cette information, mais une fois que vous avez cette information, vous voudrez peut-être à nettoyer.

Ne vous découragez pas, je continue de recommander ce régime de protection, parce que nous allons protéger la prochaine téléchargement similaire.

Fixation des actifs incorporels

Étant donné que nous avons protégé le bouton Acheter maintenant, la création de la clé fournie avec les bonnes variables dynamiquement, nous devrions vraiment protéger notre téléchargement en vérifiant que le paiement a été reçu et que le montant est correct. PayPal renvoie ces variables lorsque l'acheteur est retourné à votre site. Vous avez juste besoin de spécifier comment vous voulez les variables retournés.

Au sein de votre URL de retour, permet d'appeler thank_you.php, vous avez besoin de mettre en œuvre le contrôle des prix du téléchargement avant un lien de téléchargement est exposé à l'acheteur. Si les prix ne correspondent pas, leur donner un message d'erreur. Ce est si simple. La plupart des voleurs ne seront pas essayer d'obtenir un remboursement pour un sou pour une tentative d'achat frauduleux, contraire ouvert à être étudiée par PayPal. Ne hésitez pas à rembourser l'argent (vous devriez le faire, même si le voleur ne le mérite pas) puis signaler le voleur à PayPal et leur faire savoir que cette personne a essayé de voler votre produit sous-payées via PayPal Acheter maintenant manipulation de bouton.

Débit utilisateur conviviale de paiement

Un conseil, ne le laissez pas à l'acheteur. Vous ne savez pas leur niveau de lecture, le niveau d'intelligence, ou la capacité de suivre des instructions simples. Une solution plus élégante consiste à utiliser notification instantanée de paiement. Avec IPN, vous pouvez vous assurer que le paiement a été effectué correctement et que le téléchargement sera livré, permettant PayPal de communiquer directement avec le serveur sur un côté serveur. Ceci nécessite l'utilisation de ce type d'écoulement et est beaucoup plus fiable et offre la possibilité de faire une meilleure gestion des transactions.

Télécharger My bouton Acheter Script

Maintenant que vous comprenez la logique derrière la protection de boutons PayPal et des biens immatériels intercepter le flux de paiement et la validation des variables retournés, je vais vous donner un exemple de script que vous êtes libre de modifier et utiliser sur leurs propres sites.

MISE À JOUR:

Je ai juste mis à jour le fichier et a ajouté un fichier supplémentaire au script qui donnent boucle () soutien à ceux dont hébergement leur donne des problèmes avec la fonction fsockopen régulière () pour communiquer avec PayPal. Ce script doit donner à chacun la meilleure compatibilité. Ce script n'a pas été testé sur l'hébergement Windows du tout, seulement hébergement basé sur Unix/Linux a été testé.

Ce script est livré avec des instructions et de soutenir la vente d'un seul produit. Ce fichier ne peut pas être revendu sans ma permission (se il vous plaît respecter cette demande, merci).

Voici le lien pour télécharger le script (il est dans un fichier .zip):

Cliquez ici pour télécharger!

(0)
(0)

Commentaires - 0

Sans commentaires

Ajouter un commentaire

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Caractères restants: 3000
captcha