Je développe un site web qui permettra aux utilisateurs de payer via Paypal.Paypal IPN security
Paypal IPN semble être facile à intégrer et fonctionne sur mon hôte local.
Maintenant, le problème est que le montant et le nom de l'entreprise sont transmis à paypal en utilisant les données POST.
Je sais que c'est très dangereux de le dire de cette façon, mais je ne suis pas sûr de savoir quelles sont les alternatives.
Comment puis-je sécuriser IPN Paypal?
Les données POST sont envoyées via une connexion HTTPS sécurisée qui crypte les données entre l'expéditeur et le destinataire. C'est ainsi que toutes les données sensibles sont envoyées sur Internet. Si c'était vraiment dangereux, Paypal et tous les sites web réputés manipulant des informations sensibles ne l'utiliseraient pas.
peut-on modifier les données POST même sur https? – keithics
Les données envoyées via HTTPS sont cryptées, à moins que l'attaquant ne sache comment casser le cryptage, ou qu'il découvre une faille de sécurité inconnue dans SSL/TLS, il est pratiquement impossible de lire ou de modifier les données. –
Paypal a un exemple de code IPN sur son site Web. Fondamentalement, ce que vous êtes supposé faire est de vérifier que Paypal vous a envoyé la notification (en renvoyant l'information que vous obtenez, avec un cmd = notify_validate ou quelque chose comme ça ... ça fait longtemps que j'ai utilisé IPN), et vérifiez votre base de données pour vous assurer que l'information qu'ils vous ont envoyée est la même que celle que vous aviez l'intention de lui transmettre en premier lieu. Surtout le nom du bénéficiaire et le montant du paiement.
Si vous effectuez ces vérifications, vous devriez savoir si vous utilisez HTTPS ou non. Mais si vous êtes inquiet au sujet d'un administrateur réseau malveillant sachant que quelqu'un a payé pour un article, vous devriez être en mesure de configurer IPN pour utiliser HTTPS.
sans connaître beaucoup de PP IPN, je devine encore que vous envoyez à une adresse https, n'est-ce pas? – KevinDTimm
J'ai https sur le serveur en direct. – keithics
Si par serveur live, vous voulez dire le serveur @ paypal auquel vous vous connectez, vous avez répondu à votre propre question. – KevinDTimm