Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

[Підтримка] Безналичный платеж. Счет - Отложенная оплата OC2


ashap

Recommended Posts

Не могу найти в личном кабинете юзера ссылку на скачку счета.
В описании:

В 07.11.2016 в 16:22, ashap сказал:

кнопка в личном кабинете, в истории заказов Просмотр счета и Скачать счет

 

В вашей демке тоже не вижу.

Может я не там ищу или ослеп?

Скрин:

Спойлер


order.jpg.0b114215b11dc7f4715a6b43a440e3c8.jpg

 

 

Надіслати
Поділитися на інших сайтах

9 минут назад, Wild сказал:

Не могу найти в личном кабинете юзера ссылку на скачку счета.
В описании:

 

В вашей демке тоже не вижу.

Может я не там ищу или ослеп?

Скрин:

  Скрыть контент

 

order.jpg.0b114215b11dc7f4715a6b43a440e3c8.jpg

 

 

модуль отложенной оплаты

ссылка будет видна псоле смены статуса

у демо статус активации Ожидание

а у вас на скрине в обработке поэтому не показывает

при статусе ожидание показывает

2018-07-02_17-30-02.thumb.png.7c1f78c344df9a1e90eb950f1d48f591.png

 

если у вас при верном статусе не показывает то проблема в нестандартности кабинета у вашего шаблона

измените модификатор

блок <file path="catalog/view/theme/*/template/account/order_list.tpl">

под ваш шаблон

Надіслати
Поділитися на інших сайтах

33 минуты назад, Wild сказал:

С этим разобрался, был конфликт с другим модификатором.

А можно еще ссылки для юзера не только в истории, но и в просмотре заказа в личном кабинете?

В модуле реализовано только в списке всех заказов лк

Надіслати
Поділитися на інших сайтах

39 минут назад, Wild сказал:

Обнаружил баг.
Ссылки на счета (экран и PDF) может открыть любой незалогиненный юзер.
Надо бы закрыть лазейку...

Вы ошибаетесь.

Покажитекак вы откроете ссылку другого заказа не зная ее?


Дело в том что ссылки защищены и регистрацию проходить не обязательно чтобы получать счета

Причем на каждом магазине алгоритм защиты получается разный , и на разных магазинах для одинаковых номеров заказов ссылки будут разные .

Адрес ссылки защищен кодом, не зная полный адрес ссылки вы не сможете открыть ее.

Надіслати
Поділитися на інших сайтах

Открыл закладку в хроме в режиме инкогнито.
Залогинился.
Сделал заказ.
Перевел его в статус ожидает оплаты.
Получил ссылку на счет.


НА ДРУГОМ КОМПЬЮТЕРЕ запустил оперу.
Без логина все ссылки ОТКРЫВАЮТСЯ!

Надіслати
Поділитися на інших сайтах

33 минуты назад, Wild сказал:

Т.е. любой человек зная ссылку может получить доступ к конфиденциальным данным?

Если вы ему сообщите данную ссылку, то да

Аналогично и логин с паролем можно сообщить чтобы открыть все что нужно.

Надіслати
Поділитися на інших сайтах

6 минут назад, Wild сказал:

Это же явная дыра в безопасности!
Или вы считаете это фичей?

дыра у вас в голове

Подсмотреть где? только на почте у вас и на экране вашего монитора, ссылки нигде не хранятся, они генерируются на лету.

сообщить пофоткать можно ваши логины с паролем а также имея доступ к вашей почте на которую вы получаете данную ссылку , можно сбросить пароль от вашего аккаунта

Надіслати
Поділитися на інших сайтах

Есть магазины без регистрации

Если вы болеете параноей и вам нужно закрыть ЗАЩИЩЕННЫЕ ССЫЛКИ с СЧЕТОМ еще и логином - паролем от админ панели, то весь код модуля открыт, велком

Надіслати
Поділитися на інших сайтах

Я вас не оскорблял, угомоните свои гормоны!

Человеку достаточно сфоткать на мобилу экран со ссылкой и все данные доступны любому.
Вы считаете это нормальным?
Объясните, каким образом можно "сфоткать" пароль от залогиненой админки?
Про доступ к почте речь не идет.

Надіслати
Поділитися на інших сайтах

29 минут назад, Wild сказал:

Я вас не оскорблял, угомоните свои гормоны!

Человеку достаточно сфоткать на мобилу экран со ссылкой и все данные доступны любому.
Вы считаете это нормальным?
Объясните, каким образом можно "сфоткать" пароль от залогиненой админки?
Про доступ к почте речь не идет.

Вы просто бредите

По данной ссылки никакие данные изменить нельзя и получить куда доступ и тд (отредактировать счет и тд). сама ссылка нигде в магазине не храниться, она динамично генерируется.

Какие данные доступны любому? ваши реквизиты счета тайной компании? набор товаров? из ОДНОГО СЧЕТА единственного (но только если он будет стоять за вами весь день и ждать когда фоткнуть другую вами показанную ссылку на экране) - другую ссылку он не подберет уже. ПОВТОРЯЮ - ПЕРЕБРАТЬ ССЫЛКИ НЕ ВОЗМОЖНО - ВСЕ ЗАЩИЩЕНО

это ж чтож за шпион такой к вам подберется сзади и будет ждать пока вы сссылку в почте откроете чтобы пофоткать на мобилу?

А когда вы в админ панели заказы смотрите никто сзади не подбирается с мобилой чтобы узнать то же самое что в счете вы скрыть хотите?

закрывайтесь в комнате чтоб никто не сфотографировал тогда

 

34 минуты назад, ashap сказал:

Есть магазины без регистрации

Если вы болеете параноей и вам нужно закрыть ЗАЩИЩЕННЫЕ ССЫЛКИ с СЧЕТОМ еще и логином - паролем от админ панели, то весь код модуля открыт, велком 

 

Надіслати
Поділитися на інших сайтах

22 минуты назад, Wild сказал:

Ясно.
islogged добавлю сам.

замок купите сразу на дверь лучше побольшееее

а то может вы чайку попить, только отвернетесь а тут бац и шпиен пофоткает счет уже открытый на экране

ссылку уже фоткать не будет, так сказать станет продвинутым шпиеном

 

 

Надіслати
Поділитися на інших сайтах

Эту фичу обнаружил заказчик и попросил исправить.
Мне не сложно, но я решил обратиться к вам как разработчику.
Лично мне пофигу, но думаю что подобная паранойя не у него одного.
Я бы сделал в настройках опцию - ссылки всем или только юзерам.
И во втором случае гостям только pdf на почту, а юзерам pdf + ссылки.

Что, собственно, я и буду сейчас делать.

И незачем показывать свое раздутое ЧСВ.
Я всего-лишь указал вам на возникшую ситуацию.

Надіслати
Поділитися на інших сайтах

2 часа назад, Wild сказал:

Эту фичу обнаружил заказчик и попросил исправить.
Мне не сложно, но я решил обратиться к вам как разработчику.
Лично мне пофигу, но думаю что подобная паранойя не у него одного.
Я бы сделал в настройках опцию - ссылки всем или только юзерам.
И во втором случае гостям только pdf на почту, а юзерам pdf + ссылки.

Что, собственно, я и буду сейчас делать.

И незачем показывать свое раздутое ЧСВ.
Я всего-лишь указал вам на возникшую ситуацию.

а я в свою очередь вроде бы объяснил что ссылки достаточно защищены (шпионы с фотоаппаратами это уже перебор и фотографировать можно не только ссылку но и сам счет)

 

в pdf еще поставьте логин с паролем, по полной программе чтобы

а еще можно счет специально обученным курьером с охраной на бумаге передавать

 

а у всех есть чем смотреть pdf во всех случаях жизни или все могут принять на мобилу счет в pdf (по размеру трафика например)? как то вы о пользователях не думаете

 

Резюме, делать доступ по ссылкам через логин и пароль не имеет смысла так как:

  1. Ссылки достаточно защищены
  2. просмотр счета доступен в том числе и не зарегистрированным пользователям, в некоторых магазинах регистрировать пользователя это верх кощунства как и давать им только pdf
  3. ссылки динамичны, нигде не хранятся (только у вас на почте если вы храните - СООБСТВЕННО КАК И САМ PDF)
  4. ссылки защищены от перебора (нельзя получить данные из других ссылок имея одну или несколько ссылок)
  5. ССЫЛКА ЗАЩИЩЕНА КОДОМ - АНАЛОГ ПАРОЛЯ для аккаунта (ТОЛЬКО УНИКАЛЬНЫЙ ДЛЯ КАЖДОГО ЗАКАЗА И МАГАЗИНА в отличии от пароля - и внимание барабанная дробь У ВАШЕГО ПОКУПАТЕЛЯ МОЖЕТ БЫТЬ ПАРОЛЬ 12345 - логин и так понятно это почта где он фоткает за спиной)
  6. Никакой другой счет другого человека вы не откроете по одной ссылке
  7. Никакой другой заказ этого же покупателя вы не откроете по одной и тойже ссылке
  8. По данным ссылкам никакое изменение данных в счете не возможно ! (это только картинка на экране тажа самая что будет на фотке если стоя за спиной ктото фоткнет на мобилу)
  9. фотографировать можно не ссылку а уже открытый счет в таком случае или когда кто то лазиет в админ панели тоже можно заказы фотографировать
    также можно фотографировать уже защищенный логин и паролем счет который вы так горите сделать
    встать сзади и фоткать и фоткать и фоткать!
  10. а можно встать взади и снять видео как вы пальцами по клавиатуре пароль набираете (а может покупатель задать пароль 12345 вообще тогда и  видео снимать не надо)
  11. содержание ваших реквизитов из счета можно получить просто совершив заказ, к чему все усложнять - иначе как вы будите получать оплату (получить реквизиты других заказов вы не сможете читайте выше почему - ссылки защищены)
Надіслати
Поділитися на інших сайтах

В целом я согласен с вами и мне в общем-то монопенисуально, но как я писал выше, не все думают как вы (ваши аргументы я заказчику показывал, они его не убедили). <:-((
Да и вы не суд первой инстанции.
А заказчик, как известно, всегда прав (читай "зачастую приходится терпеть его закидоны")!
И я думаю, что он не один такой.
По этому я просто предложил во избежание подобных недоразумений добавить подобную опцию в модуль, чтобы работало и так и так.
Ведь там работы всего-ничего!
Добавить в настройки чекбокс или радиобаттоны, в контроллер логику islogged и мелкие брызги в шаблоне.
У себя вчера сделал, получился вполне универсальный вариант.

Меня просто удивило что вы восприняли мое предложение категорически в штыки.

И я не вижу ничего плохого в PDF для гостей без ссылок на счет.

P.S. Кстати рекомендую все таки реализовать подобное, пусть клиент сам решает как ему поступать.
Если он параноик, то попытка переубедить его - это лишние потерянные нервные клетки у себя.
Оно мне надо?

Надіслати
Поділитися на інших сайтах

20 минут назад, Wild сказал:

В целом я согласен с вами и мне в общем-то монопенисуально, но как я писал выше, не все думают как вы (ваши аргументы я заказчику показывал, они его не убедили). <:-((
Да и вы не суд первой инстанции.
А заказчик, как известно, всегда прав (читай "зачастую приходится терпеть его закидоны")!
И я думаю, что он не один такой.
По этому я просто предложил во избежание подобных недоразумений добавить подобную опцию в модуль, чтобы работало и так и так.
Ведь там работы всего-ничего!
Добавить в настройки чекбокс или радиобаттоны, в контроллер логику islogged и мелкие брызги в шаблоне.
У себя вчера сделал, получился вполне универсальный вариант.

Меня просто удивило что вы восприняли мое предложение категорически в штыки.

И я не вижу ничего плохого в PDF для гостей без ссылок на счет.

P.S. Кстати рекомендую все таки реализовать подобное, пусть клиент сам решает как ему поступать.
Если он параноик, то попытка переубедить его - это лишние потерянные нервные клетки у себя.
Оно мне надо?

Ну так делайте

11 аргументов против 1 сфоткают за спиной

В данном муделе такого бреда не будет

Индивидуально , платно , без проблем

Обращайтесь сделаю как нужно и как вы считаете вам надо.

Надіслати
Поділитися на інших сайтах

12 минут назад, Wild сказал:

Уже.
Еще вчера.

Я понял только вот одним islogged вы не обойдетесь. Смысл что вы проверили залогинен ли покупатель . Ну залогинюсь  я под другой учётной записью .

 

Ну это я написал всем кто хочет индивидуальных хотелок

И как то, что то, видит по своему

 

Надіслати
Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.