art&pr [Підтримка] Альфа Банк Эквайринг

[ashap]

Понял. Но решение проверки домена явно не лучшее. Отправлю на проверку знакомому, надеюсь не обманываете и все так, как вы и сказали.

 

а не лучше ли бы вам задать такой вопрос хостеру на основании чего он так решил? а еще лучше разработчику антивируса

Почему антивирус пишет что это вирус когда тупо не может извлечь что зашифровано?

 

 

на данный момент код проверки ключа зашифрован стандартными функциями пхп

простые антивирусы(грубо говоря сканеры) бесплатные банально берут и сканируют файлы и читают код и видя зашифрованный участок - естественно они его прочитать не могут - потому что алгоритмы всегда разные - говорят что это вирус или чего еще 

а бывает еще то что он удаляет файл ну это хостер молодец - он должен просто вас предупредить что внимание а не удалять

у нормальных хостеров если они используют жалкую поделку антивируса это так и реализовано

при этом остальной код модуля полностью открыт, вы можете дорабатывать самостоятельно или сторонними разработчиками

 

еслиб был ион куб то антивирус тупо его пропустил и нечего вам не сказал, даже если зашить туда вирус и тд

потом некоторые получили бы не возможность использования модуля в связи с отстуствием ионкуба

конфликты разных версий куба

и самое главное невозможности изменения модуля без моего вмешательства.

 

либо все сделать в открытом виде, не шифруя проверку домена - тогда сие мероприятие и не нужно, любой просто отключит проверку (а есть опыт продажи дополнений без ключа но с текстом что лицензия на один домен, но это никого не смущает, повторных покупок на другие домены банально нет)

 

по этому итог

 

использовать ион куб -нет (для покупателей плохо)

не использовать проверку домена (для продавца плохо)

 

использовать шифрование стандартными методами пхп (золотая середина)

[Alkaruno]

Возможно вы в чем-то и правы, но не лучшее оно может быть потому, что иньекции eval(base64_decode("...")) в PHP скриптах имеют место быть, что и не радует. Что касается хостера reg.ru, вряд ли его можно отнести к шаражкиным конторам... По поводу куба согласен, но и его декодируют на раз, два.

Змінено 20 липня 2016 користувачем Alkaruno

[ashap]

Возможно вы в чем-то и правы, но не лучшее оно может быть потому, что иньекции eval(base64_decode("...")) в PHP скриптах имеют место быть, что и не радует. Что касается хостера reg.ru, вряд ли его можно отнести к шаражкиным конторам... 

ну так он пишет предупреждение а я вам отвечаю

вы видимо не знаете что такое инъекции а зачем то пишете!

Инъекция это когда входящие данные не проверяются, то есть к ним можно обратиться из вне и написать какойто код который сможет управлять например фтп

 

а это функция это стандартный метод шифрования, а то что вы увидели функцию  eval(base64_decode( ничего не значит так как например и require_once() и еще include_once() и так далее тоже можно под эту гребенку а там в опенкарте они есть и это не инъекции

а то что шифрование также используют вирусо-писатели и только на основании этого антивирус пишет письмо это не комильфо

просто текст нужно писать по другому

не то что вирус , а то что подозрительный объект, убедитесь в его происхождении

и профит

[ashap]

если бы я хотел туда чего то запихать

я бы сделал файл под ион куб

и поверьте мне, не вы и не ваш любимый и такой хороший хостер никогда бы узнал что там

и ваш такой хороший антивирус не о каких инъекциях как вы говорите бы даже не пикнул

[ashap]

а вот вам тема сообщение про ион куб #30 

да еще много таких могу наковырять

это не касаясь того что под кубом в коде может быть вообще все что угодно

[Alkaruno]

Я знаю что такое инъекции, а пишу для того, чтобы понять надобность шифрованного кода в скрипте. Вы объяснили, я вас услышал. Под кубом я бы и не купил, только и всего.

Змінено 20 липня 2016 користувачем Alkaruno

[ashap]

Я знаю что такое инъекции, а пишу для того, чтобы понять надобность шифрованного кода в скрипте. Вы объяснили, я вас услышал. Под кубом я бы и не купил, только и всего.

зашифрована только проверка домена

весь код модуля открыт

[Alkaruno]

Добрый день. 
Провел 2 тестовых платежа, с отказом и успешный, в обоих случаях попал на одну и ту же страницу. 

Fatal error: Call to undefined method Loader::library() in /var/www/u00/public_html/site.ru/catalog/controller/account/abacquiring.php on line 830 
Fatal error: Call to undefined method Loader::library() in /var/www/u00/public_html/site.ru/catalog/controller/account/abacquiring.php on line 573 

Должно выводится сообщение об успешном платеже либо об отказе.

[ashap]

Добрый день. [/size]Провел 2 тестовых платежа, с отказом и успешный, в обоих случаях попал на одну и ту же страницу. [/size]Fatal error: Call to undefined method Loader::library() in /var/www/u00/public_html/site.ru/catalog/controller/account/abacquiring.php on line 830 Fatal error: Call to undefined method Loader::library() in /var/www/u00/public_html/site.ru/catalog/controller/account/abacquiring.php on line 573 Должно выводится сообщение об успешном платеже либо об отказе.

Внимание

Версии для 2.0 и для 2.1 разные

Архивы подписаны

Устанавливать необходимо свой архив под Вашу версию магазина

[Alkaruno]

Доброго дня! Перешли на боевую версию после тестов с альфабанком. При оплате возникает ошибка "no data". В логе модуля пишет: AlfaBank error: code=5 - Доступ запрещён.

Эта ошибка связана с неверным логином/ паролем от api альфабанка, или это ошибка модуля?

[ashap]

Доброго дня! Перешли на боевую версию после тестов с альфабанком. При оплате возникает ошибка "no data". В логе модуля пишет: AlfaBank error: code=5 - Доступ запрещён.

Эта ошибка связана с неверным логином/ паролем от api альфабанка, или это ошибка модуля?

Скорее вам выдали другой адрес сервера

В catalog/controller/account/abacquiring.php менять адрес со старого на новый который выдали

[Alkaruno]

Вот то, что было в письме:

Взаимодействие магазина с платежным шлюзом реализуется как HTTP обращения методами GET или POST на определенные URL, для каждого типа - свой (см. раздел "Координаты подключения"). Параметры передаются как параметры GET или POST запросов.
Для авторизации обращения магазина к системе платежного шлюза, в любом запросе со стороны магазина должны быть приведены имя пользователя (***-api) и пароль. Значения имени и пароля передаются в параметрах userName и password соответственно.
Передать разработчикам!
Все текстовые поля должны иметь кодировку Юникод (UTF-8).
Спец-символы в REST запросе с использованием метода GET должны быть экранированы в соответствии с URL-кодом.
Таблица символов представлена здесь: http://web-developer.name/urlcode/. Например, пароль "qwe?rt%y" должен передаваться в виде "qwe%0Frt%25y".
Результат обработки запроса возвращается в виде JSON объекта. Например:
{"errorCode":"12","errorMessage":"Empty amount"}.

Если в ответ на запрос сервис возвращает следующее:
{"errorCode":"5","errorMessage":"Доступ запрещён","orderId":null,"formUrl":null},
это может означать:
1. Не сменен первичный пароль для пользователя ***-api
2. Указан неправильный пароль
3. Спецсимволы в пароле не экранированы в формате URLENCODE
Спец-символы в REST запросе с использованием метода GET должны быть экранированы в соответствии с URL-кодом, в случае POST запросов экранировать не нужно.


Координаты подключения:

Название метода URL REST
Регистрация заказа https://pay.alfabank.ru/payment/rest/register.do
Регистрация заказа с предавторизацией https://pay.alfabank.ru/payment/rest/registerPreAuth.do
Запрос завершения оплаты заказа https://pay.alfabank.ru/payment/rest/deposit.do
Запрос отмены оплаты заказа https://pay.alfabank.ru/payment/rest/reverse.do
Запрос возврата средств оплаты заказа https://pay.alfabank.ru/payment/rest/refund.do
Получение статуса заказа https://pay.alfabank.ru/payment/rest/getOrderStatus.do
Получение расширенного статуса заказа https://pay.alfabank.ru/payment/rest/getOrderStatusExtended.do
Запрос проверки вовлеченности карты в 3DS https://pay.alfabank.ru/payment/rest/verifyEnrollment.do
Запрос статистики по платежам за период https://pay.alfabank.ru/payment/rest/getLastOrdersForMerchants.do


Название метода URL WSDL
Описание WebService (WSDL) https://pay.alfabank.ru/payment/webservices/merchant-ws?wsdl

Название метода URL
Личный кабинет https://pay.alfabank.ru/mportal

[ashap]

Вот то, что было в письме:

Взаимодействие магазина с платежным шлюзом реализуется как HTTP обращения методами GET или POST на определенные URL, для каждого типа - свой (см. раздел "Координаты подключения"). Параметры передаются как параметры GET или POST запросов.

Для авторизации обращения магазина к системе платежного шлюза, в любом запросе со стороны магазина должны быть приведены имя пользователя (***-api) и пароль. Значения имени и пароля передаются в параметрах userName и password соответственно.

Передать разработчикам!

Все текстовые поля должны иметь кодировку Юникод (UTF-8).

Спец-символы в REST запросе с использованием метода GET должны быть экранированы в соответствии с URL-кодом.

Таблица символов представлена здесь: http://web-developer.name/urlcode/. Например, пароль "qwe?rt%y" должен передаваться в виде "qwe%0Frt%25y".

Результат обработки запроса возвращается в виде JSON объекта. Например:

{"errorCode":"12","errorMessage":"Empty amount"}.

Если в ответ на запрос сервис возвращает следующее:

{"errorCode":"5","errorMessage":"Доступ запрещён","orderId":null,"formUrl":null},

это может означать:

1. Не сменен первичный пароль для пользователя ***-api

2. Указан неправильный пароль

3. Спецсимволы в пароле не экранированы в формате URLENCODE

Спец-символы в REST запросе с использованием метода GET должны быть экранированы в соответствии с URL-кодом, в случае POST запросов экранировать не нужно.

Координаты подключения:

Название метода URL REST

Регистрация заказа https://pay.alfabank.ru/payment/rest/register.do

Регистрация заказа с предавторизацией https://pay.alfabank.ru/payment/rest/registerPreAuth.do

Запрос завершения оплаты заказа https://pay.alfabank.ru/payment/rest/deposit.do

Запрос отмены оплаты заказа https://pay.alfabank.ru/payment/rest/reverse.do

Запрос возврата средств оплаты заказа https://pay.alfabank.ru/payment/rest/refund.do

Получение статуса заказа https://pay.alfabank.ru/payment/rest/getOrderStatus.do

Получение расширенного статуса заказа https://pay.alfabank.ru/payment/rest/getOrderStatusExtended.do

Запрос проверки вовлеченности карты в 3DS https://pay.alfabank.ru/payment/rest/verifyEnrollment.do

Запрос статистики по платежам за период https://pay.alfabank.ru/payment/rest/getLastOrdersForMerchants.do

Название метода URL WSDL

Описание WebService (WSDL) https://pay.alfabank.ru/payment/webservices/merchant-ws?wsdl

Название метода URL

Личный кабинет https://pay.alfabank.ru/mportal

ну вот с

https://test.paymentgate.ru/testpayment/

на

https://pay.alfabank.ru/payment/

[Alkaruno]

Заменил в 3х строках, но No data...

[ashap]

Заменил в 3х строках, но No data...

журнал ошибок смотрите наверно там доступ запрещен написано также

 

• неправильно заменили
• неверный логин и пароль
• пароли не сбросили
• не открыли вам доступ

[Alkaruno]

Да, 2016-09-09 9:44:48 - AlfaBank error: code=5 - Доступ запрещён

Проверил замену - корректно

Логин и пароль - проверил

Пароль к api и operator сброшены с дефолтных

Связывались с Альфабанком, подтвердили, что мы можем пользоваться.

 

Что-то еще может быть?

[ashap]

Да, 2016-09-09 9:44:48 - AlfaBank error: code=5 - Доступ запрещён

Проверил замену - корректно

Логин и пароль - проверил

Пароль к api и operator сброшены с дефолтных

Связывались с Альфабанком, подтвердили, что мы можем пользоваться.

 

Что-то еще может быть?

ну если пишет доступ запрещен и адреса новые значит вы попадаете на сервер банка так как это пишет банк а не модуль

тогда не верные адреса отпадает

 

остается логин и пароль или вам не открыли доступ

больше быть ничего не может

как вариант еще раз связаться с банком и сбросить пароли еще раз (может не хочет альфа кушать какието спецсимволы в пароле)

[Alkaruno]

Понял. Благодарю. Будем еще раз сбрасывать пароли.

[ashap]

Понял. Благодарю. Будем еще раз сбрасывать пароли.

Также может помочь но уже на крайний случай человек отписался что ему это помогло, но это конечно из разряда мистики или своебразного хостинга но попробывать можно

если пароль API содержит спецсимволы

Например, пароль "qwe?rt%y" можно попробовать записать как "qwe%0Frt%25y".

http://web-developer.name/urlcode/

[Alkaruno]

Доброго дня! Пароль вида "qwe%0Frt%25y" срабатывает. Какое-то время (в течении суток) всё в порядке и форма для оплаты генерируется, но потом снова "No data" и всё. Клиент уже оплатил рекламу, а оплатить нельзя... Если пароль перезаписать и сохранить, снова какое-то время работает, потом вновь - No data

Змінено 16 вересня 2016 користувачем Alkaruno

[ashap]

Доброго дня! Пароль вида "qwe%0Frt%25y" срабатывает. Какое-то время (в течении суток) всё в порядке и форма для оплаты генерируется, но потом снова "No data" и всё. Клиент уже оплатил рекламу, а оплатить нельзя... Если пароль перезаписать и сохранить, снова какое-то время работает, потом вновь - No data

такое поведение может только в одном случае если у вас в настройках магазина во вкладке сервер - ключ шифрования меняется самопроизвольно или ктото его меняет

ну или еще кто то в настройках модуля меняет

 

модуль своей жизнию жить не может

либо работает либо нет

[Alkaruno]

Его точно никто не меняет. После установки никто его не трогал.

[ashap]

Его точно никто не меняет. После установки никто его не трогал.

ну если вы опять его вставляете обратно и все работает

то как? 

если в настройки модуля никто не лазиет то значит смена происходит в ключе шифрования магазина

поэтому после пересохранения пароля все встает на свои места

[Alkaruno]

Я сохраню текущий, сейчас все снова работает после подстановки пароля. Если повторится, сравню в админке ключ с сохраненным, при совпадении смогу вам возразить :-)

[ashap]

Я сохраню текущий, сейчас все снова работает после подстановки пароля. Если повторится, сравню в админке ключ с сохраненным, при совпадении смогу вам возразить :-)

на счет чего? )

что модуль живет своей жизнью? развивается и эволюционирует)

я повторяю если его никто не меняет то сам он поменяться ну никак не может) при сохранении пароль оборачивается ключем шифрования и ложится в базу потом при обращении к банку достается из базы и расшифровывается ключем шифрования - естественно при этом ключ которым он зашифровался должен быть тот же самым (если он другой то естественно пароль превращается в другой) - сам посебе ключ шифрования в магазине менятся не должен если только ни кто это не делает намеренно в ручную или какимто модулем ну или магазин эволюционировал и начал жить своей жизнью )

вся система все пироги)