Jump to content
Search In
  • More options...
Find results that contain...
Find results in...
  • Sign Up

Безопасность (конфиденциальность) магазина


Recommended Posts

Здравствуйте. Столкнулся с такой ситуацией: каждый день начали появляться левые заказы (по одному) на один и тот же не существующий мейл и номер телефона.

99,9% что кто-то из конкурентов смотрит номер заказа. В шаблоне письма я могу убрать номер заказа, не проблема. Передается ли ещё где-нибудь в запросах этот номер, можно ли его выцепить каким-либо отладчиком со стороны клиента? Если да, то какой вариант это скрыть либо отдавать наружу левую информацию?

Спасибо

Link to post
Share on other sites

Зачем вам убирать номер заказа?

Как настоящие клиенты будут его знать?) 

номер заказа часто бывает необходим

 

Если вы хотите просто давать конкурентам не достоверную информацию, то на форуме где то был топик, как прибавлять цифры и увеличить шаг

 

например, первый заказ #10, следующий будет не #11, а #13

Edited by zlob
Link to post
Share on other sites

В базе данных сменить ID последного заказа на 100500, новый будет уже 100501 и  пусть конкурент откусит от злости себе локти....

Link to post
Share on other sites
2 часа назад, warezliker сказал:

начали появляться левые заказы (по одному) на один и тот же не существующий мейл и номер телефона.

если еще и с одного IP - просто заблочить его в .htaccess

Link to post
Share on other sites
10 минут назад, halfhope сказал:

ALTER TABLE your_table AUTO_INCREMENT = 6000;

 

 

19 минут назад, Tom сказал:

В базе данных сменить ID последного заказа на 100500, новый будет уже 100501 и  пусть конкурент откусит от злости себе локти....

Но это не избавляет от последовательного измения

Наиболее преемлемый путь подсказал

@zlob

 

в addOrder

после инсерта и getLastID()

 

ALTER TABLE `order` AUTO_INCREMENT = $order_id + mt_rand(1,10)

 

  • +1 1
Link to post
Share on other sites
37 минут назад, zlob сказал:

Зачем вам убирать номер заказа?

Как настоящие клиенты будут его знать?) 

номер заказа часто бывает необходим

 

Если вы хотите просто давать конкурентам не достоверную информацию, то на форуме где то был топик, как прибавлять цифры и увеличить шаг

 

например, первый заказ #10, следующий будет не #11, а #13

 

17 минут назад, Tom сказал:

В базе данных сменить ID последного заказа на 100500, новый будет уже 100501 и  пусть конкурент откусит от злости себе локти....

 

поясню немного:

меня "пингают" на регулярной основе, указывается несуществующий номер телефона и валидный емейл, который вряд-ли пренадлежит тому, кто "пингает" ибо "жирный" (из разряда billgates@microsoft.com), скорее просто заглушка.

Кроме подтверждения заказа на емейл идет подтверждение заказа на телефон. Т.е. при выпиливании номера заказа из заголовка и тела письма обычный клиент неудобства не заметит - он его получит как минимум в смс.

НО: я вообще сомневаюсь, что смотрят по содержимому письма. Мне кажется, что это скрипт, который лупит по списку конкурирующих магазинов и "мониторит" ситуацию по рынку вцелом. И смотрит он, скорее всего, по каким-то запросам, которые передаются в get/post и т.д. Вариант, кстати, вполне реальный, т.к. список конкурирующих магазинов относительно небольшой, а "зоопарк" движков и того меньше - половина на опенкарте разной свежести, пара на джумле, мадженте.

PS: В магазине ЧПУ включено, в урле id заказа не светится

Link to post
Share on other sites

18 минут назад, AlexDW сказал:

если еще и с одного IP - просто заблочить его в .htaccess

банил, айпи сменили :)

Link to post
Share on other sites

7 минут назад, chukcha сказал:

 

Но это не избавляет от последовательного измения

Наиболее преемлемый путь подсказал

@zlob

 

в addOrder

после инсерта и getLastID()

 

ALTER TABLE `order` AUTO_INCREMENT = $order_id + mt_rand(1,10)

 

 

спасибо, я оставлю этот вариант на случай, если вообще не получится.

Вы мне лучше подскажите, передается где-то айди заказа в запросах или нет? М.б. там пошаманить можно что-то

Link to post
Share on other sites

39 минут назад, warezliker сказал:

передается где-то айди заказа в запросах или нет?

Нет, по дефолту даже success не знает(не выводит) номер заказа

 

Хотя может быть в симпле, не помню, а смотреть лень

Link to post
Share on other sites

симпла как раз стоит. Но я не программер, где точно смотреть, не знаю. В обычном отладчике хрома айди заказа нет, хотя айди товара увидеть можно

Link to post
Share on other sites

Забанить айпи и проблем нет

Link to post
Share on other sites

В 2/9/2018 в 19:08, toropa сказал:

Забанить айпи и проблем нет

обсуждали выше.

Решение так себе, т.к. следующий же подобный запрос приходит с другого айпи

Link to post
Share on other sites

если цель - избавиться от левых заказов, то думать над вариантами

 

прикрутить капчу

проверять email на существование

использовать подтверждение по email или sms

использовать обязательную регистрацию при оформлении

 

 

Link to post
Share on other sites
4 часа назад, AlexDW сказал:

если цель - избавиться от левых заказов, то думать над вариантами

 

прикрутить капчу

проверять email на существование

использовать подтверждение по email или sms

использовать обязательную регистрацию при оформлении

 

 

Цель не светить номер заказа :)

Если она действительно не светится нигде в коде или запросах магазина, (т.е. нельзя выгрести дебаггером со стороны клиента), то удаление номера заказа из тела письма должно быть достаточно. Другое дело, что я не уверен в том, что номер заказа нигде не передается во время оформления.

Link to post
Share on other sites

28 минут назад, warezliker сказал:

Другое дело, что я не уверен в том, что номер заказа нигде не передается во время оформления.

в дефолте - нигде, только в личном кабинете

И в письме о заказе

Link to post
Share on other sites

Если все действительно так, то тема, думаю, себя исчерпала.

Кто заказы делал я сегодня выяснил, кстати. 

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.