Перейти к содержанию
warezliker

Безопасность (конфиденциальность) магазина

Рекомендуемые сообщения

Здравствуйте. Столкнулся с такой ситуацией: каждый день начали появляться левые заказы (по одному) на один и тот же не существующий мейл и номер телефона.

99,9% что кто-то из конкурентов смотрит номер заказа. В шаблоне письма я могу убрать номер заказа, не проблема. Передается ли ещё где-нибудь в запросах этот номер, можно ли его выцепить каким-либо отладчиком со стороны клиента? Если да, то какой вариант это скрыть либо отдавать наружу левую информацию?

Спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Зачем вам убирать номер заказа?

Как настоящие клиенты будут его знать?) 

номер заказа часто бывает необходим

 

Если вы хотите просто давать конкурентам не достоверную информацию, то на форуме где то был топик, как прибавлять цифры и увеличить шаг

 

например, первый заказ #10, следующий будет не #11, а #13

Изменено пользователем zlob

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

В базе данных сменить ID последного заказа на 100500, новый будет уже 100501 и  пусть конкурент откусит от злости себе локти....

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ALTER TABLE your_table AUTO_INCREMENT = 6000;

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
2 часа назад, warezliker сказал:

начали появляться левые заказы (по одному) на один и тот же не существующий мейл и номер телефона.

если еще и с одного IP - просто заблочить его в .htaccess

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
10 минут назад, halfhope сказал:

ALTER TABLE your_table AUTO_INCREMENT = 6000;

 

 

19 минут назад, Tom сказал:

В базе данных сменить ID последного заказа на 100500, новый будет уже 100501 и  пусть конкурент откусит от злости себе локти....

Но это не избавляет от последовательного измения

Наиболее преемлемый путь подсказал

@zlob

 

в addOrder

после инсерта и getLastID()

 

ALTER TABLE `order` AUTO_INCREMENT = $order_id + mt_rand(1,10)

 

  • +1 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
37 минут назад, zlob сказал:

Зачем вам убирать номер заказа?

Как настоящие клиенты будут его знать?) 

номер заказа часто бывает необходим

 

Если вы хотите просто давать конкурентам не достоверную информацию, то на форуме где то был топик, как прибавлять цифры и увеличить шаг

 

например, первый заказ #10, следующий будет не #11, а #13

 

17 минут назад, Tom сказал:

В базе данных сменить ID последного заказа на 100500, новый будет уже 100501 и  пусть конкурент откусит от злости себе локти....

 

поясню немного:

меня "пингают" на регулярной основе, указывается несуществующий номер телефона и валидный емейл, который вряд-ли пренадлежит тому, кто "пингает" ибо "жирный" (из разряда billgates@microsoft.com), скорее просто заглушка.

Кроме подтверждения заказа на емейл идет подтверждение заказа на телефон. Т.е. при выпиливании номера заказа из заголовка и тела письма обычный клиент неудобства не заметит - он его получит как минимум в смс.

НО: я вообще сомневаюсь, что смотрят по содержимому письма. Мне кажется, что это скрипт, который лупит по списку конкурирующих магазинов и "мониторит" ситуацию по рынку вцелом. И смотрит он, скорее всего, по каким-то запросам, которые передаются в get/post и т.д. Вариант, кстати, вполне реальный, т.к. список конкурирующих магазинов относительно небольшой, а "зоопарк" движков и того меньше - половина на опенкарте разной свежести, пара на джумле, мадженте.

PS: В магазине ЧПУ включено, в урле id заказа не светится

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
18 минут назад, AlexDW сказал:

если еще и с одного IP - просто заблочить его в .htaccess

банил, айпи сменили :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
7 минут назад, chukcha сказал:

 

Но это не избавляет от последовательного измения

Наиболее преемлемый путь подсказал

@zlob

 

в addOrder

после инсерта и getLastID()

 

ALTER TABLE `order` AUTO_INCREMENT = $order_id + mt_rand(1,10)

 

 

спасибо, я оставлю этот вариант на случай, если вообще не получится.

Вы мне лучше подскажите, передается где-то айди заказа в запросах или нет? М.б. там пошаманить можно что-то

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
39 минут назад, warezliker сказал:

передается где-то айди заказа в запросах или нет?

Нет, по дефолту даже success не знает(не выводит) номер заказа

 

Хотя может быть в симпле, не помню, а смотреть лень

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

симпла как раз стоит. Но я не программер, где точно смотреть, не знаю. В обычном отладчике хрома айди заказа нет, хотя айди товара увидеть можно

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Забанить айпи и проблем нет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
В 2/9/2018 в 19:08, toropa сказал:

Забанить айпи и проблем нет

обсуждали выше.

Решение так себе, т.к. следующий же подобный запрос приходит с другого айпи

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

если цель - избавиться от левых заказов, то думать над вариантами

 

прикрутить капчу

проверять email на существование

использовать подтверждение по email или sms

использовать обязательную регистрацию при оформлении

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
4 часа назад, AlexDW сказал:

если цель - избавиться от левых заказов, то думать над вариантами

 

прикрутить капчу

проверять email на существование

использовать подтверждение по email или sms

использовать обязательную регистрацию при оформлении

 

 

Цель не светить номер заказа :)

Если она действительно не светится нигде в коде или запросах магазина, (т.е. нельзя выгрести дебаггером со стороны клиента), то удаление номера заказа из тела письма должно быть достаточно. Другое дело, что я не уверен в том, что номер заказа нигде не передается во время оформления.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
28 минут назад, warezliker сказал:

Другое дело, что я не уверен в том, что номер заказа нигде не передается во время оформления.

в дефолте - нигде, только в личном кабинете

И в письме о заказе

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Если все действительно так, то тема, думаю, себя исчерпала.

Кто заказы делал я сегодня выяснил, кстати. 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×

Важная информация

На нашем сайте используются файлы cookie и происходит обработка некоторых персональных данных пользователей, чтобы улучшить пользовательский интерфейс. Чтобы узнать для чего и какие персональные данные мы обрабатываем перейдите по ссылке. Если Вы нажмете «Я даю согласие», это означает, что Вы понимаете и принимаете все условия, указанные в этом Уведомлении о Конфиденциальности.