[Підтримка] Безналичный платеж. Счет - Отложенная оплата OC2

[Wild]

Не могу найти в личном кабинете юзера ссылку на скачку счета.
В описании:

В 07.11.2016 в 16:22, ashap сказал:

кнопка в личном кабинете, в истории заказов Просмотр счета и Скачать счет

 

В вашей демке тоже не вижу.

Может я не там ищу или ослеп?

Скрин:

Спойлер

 

 

[ashap]

9 минут назад, Wild сказал:

Не могу найти в личном кабинете юзера ссылку на скачку счета.
В описании:

 

В вашей демке тоже не вижу.

Может я не там ищу или ослеп?

Скрин:

  Скрыть контент

 

 

 

модуль отложенной оплаты

ссылка будет видна псоле смены статуса

у демо статус активации Ожидание

а у вас на скрине в обработке поэтому не показывает

при статусе ожидание показывает

 

если у вас при верном статусе не показывает то проблема в нестандартности кабинета у вашего шаблона

измените модификатор

блок <file path="catalog/view/theme/*/template/account/order_list.tpl">

под ваш шаблон

[Wild]

С этим разобрался, был конфликт с другим модификатором.

А можно еще ссылки для юзера не только в истории, но и в просмотре заказа в личном кабинете?

[ashap]

33 минуты назад, Wild сказал:

С этим разобрался, был конфликт с другим модификатором.

А можно еще ссылки для юзера не только в истории, но и в просмотре заказа в личном кабинете?

В модуле реализовано только в списке всех заказов лк

[Wild]

Обнаружил баг.
Ссылки на счета (экран и PDF) может открыть любой незалогиненный юзер.
Надо бы закрыть лазейку...

[ashap]

39 минут назад, Wild сказал:

Обнаружил баг.
Ссылки на счета (экран и PDF) может открыть любой незалогиненный юзер.
Надо бы закрыть лазейку...

Вы ошибаетесь.

Покажитекак вы откроете ссылку другого заказа не зная ее?

Дело в том что ссылки защищены и регистрацию проходить не обязательно чтобы получать счета

Причем на каждом магазине алгоритм защиты получается разный , и на разных магазинах для одинаковых номеров заказов ссылки будут разные .

Адрес ссылки защищен кодом, не зная полный адрес ссылки вы не сможете открыть ее.

[Wild]

Открыл закладку в хроме в режиме инкогнито.
Залогинился.
Сделал заказ.
Перевел его в статус ожидает оплаты.
Получил ссылку на счет.

НА ДРУГОМ КОМПЬЮТЕРЕ запустил оперу.
Без логина все ссылки ОТКРЫВАЮТСЯ!

[Wild]

Т.е. любой человек зная ссылку может получить доступ к конфиденциальным данным?

[ashap]

33 минуты назад, Wild сказал:

Т.е. любой человек зная ссылку может получить доступ к конфиденциальным данным?

Если вы ему сообщите данную ссылку, то да

Аналогично и логин с паролем можно сообщить чтобы открыть все что нужно.

[Wild]

Не сообщить, а подсмотреть/сфоткать/скопировать.
Пароли в открытом виде получить таким же образом OC не получится.

[Wild]

Это же явная дыра в безопасности!
Или вы считаете это фичей?

[ashap]

6 минут назад, Wild сказал:

Это же явная дыра в безопасности!
Или вы считаете это фичей?

дыра у вас в голове

Подсмотреть где? только на почте у вас и на экране вашего монитора, ссылки нигде не хранятся, они генерируются на лету.

сообщить пофоткать можно ваши логины с паролем а также имея доступ к вашей почте на которую вы получаете данную ссылку , можно сбросить пароль от вашего аккаунта

[ashap]

Есть магазины без регистрации

Если вы болеете параноей и вам нужно закрыть ЗАЩИЩЕННЫЕ ССЫЛКИ с СЧЕТОМ еще и логином - паролем от админ панели, то весь код модуля открыт, велком

[Wild]

Я вас не оскорблял, угомоните свои гормоны!

Человеку достаточно сфоткать на мобилу экран со ссылкой и все данные доступны любому.
Вы считаете это нормальным?
Объясните, каким образом можно "сфоткать" пароль от залогиненой админки?
Про доступ к почте речь не идет.

[ashap]

29 минут назад, Wild сказал:

Я вас не оскорблял, угомоните свои гормоны!

Человеку достаточно сфоткать на мобилу экран со ссылкой и все данные доступны любому.
Вы считаете это нормальным?
Объясните, каким образом можно "сфоткать" пароль от залогиненой админки?
Про доступ к почте речь не идет.

Вы просто бредите

По данной ссылки никакие данные изменить нельзя и получить куда доступ и тд (отредактировать счет и тд). сама ссылка нигде в магазине не храниться, она динамично генерируется.

Какие данные доступны любому? ваши реквизиты счета тайной компании? набор товаров? из ОДНОГО СЧЕТА единственного (но только если он будет стоять за вами весь день и ждать когда фоткнуть другую вами показанную ссылку на экране) - другую ссылку он не подберет уже. ПОВТОРЯЮ - ПЕРЕБРАТЬ ССЫЛКИ НЕ ВОЗМОЖНО - ВСЕ ЗАЩИЩЕНО

это ж чтож за шпион такой к вам подберется сзади и будет ждать пока вы сссылку в почте откроете чтобы пофоткать на мобилу?

А когда вы в админ панели заказы смотрите никто сзади не подбирается с мобилой чтобы узнать то же самое что в счете вы скрыть хотите?

закрывайтесь в комнате чтоб никто не сфотографировал тогда

 

34 минуты назад, ashap сказал:

Есть магазины без регистрации

Если вы болеете параноей и вам нужно закрыть ЗАЩИЩЕННЫЕ ССЫЛКИ с СЧЕТОМ еще и логином - паролем от админ панели, то весь код модуля открыт, велком 

 

[Wild]

Ясно.
islogged добавлю сам.

[ashap]

22 минуты назад, Wild сказал:

Ясно.
islogged добавлю сам.

замок купите сразу на дверь лучше побольшееее

а то может вы чайку попить, только отвернетесь а тут бац и шпиен пофоткает счет уже открытый на экране

ссылку уже фоткать не будет, так сказать станет продвинутым шпиеном

 

 

[Wild]

Эту фичу обнаружил заказчик и попросил исправить.
Мне не сложно, но я решил обратиться к вам как разработчику.
Лично мне пофигу, но думаю что подобная паранойя не у него одного.
Я бы сделал в настройках опцию - ссылки всем или только юзерам.
И во втором случае гостям только pdf на почту, а юзерам pdf + ссылки.

Что, собственно, я и буду сейчас делать.

И незачем показывать свое раздутое ЧСВ.
Я всего-лишь указал вам на возникшую ситуацию.

[ashap]

2 часа назад, Wild сказал:

Эту фичу обнаружил заказчик и попросил исправить.
Мне не сложно, но я решил обратиться к вам как разработчику.
Лично мне пофигу, но думаю что подобная паранойя не у него одного.
Я бы сделал в настройках опцию - ссылки всем или только юзерам.
И во втором случае гостям только pdf на почту, а юзерам pdf + ссылки.

Что, собственно, я и буду сейчас делать.

И незачем показывать свое раздутое ЧСВ.
Я всего-лишь указал вам на возникшую ситуацию.

а я в свою очередь вроде бы объяснил что ссылки достаточно защищены (шпионы с фотоаппаратами это уже перебор и фотографировать можно не только ссылку но и сам счет)

 

в pdf еще поставьте логин с паролем, по полной программе чтобы

а еще можно счет специально обученным курьером с охраной на бумаге передавать

 

а у всех есть чем смотреть pdf во всех случаях жизни или все могут принять на мобилу счет в pdf (по размеру трафика например)? как то вы о пользователях не думаете

 

Резюме, делать доступ по ссылкам через логин и пароль не имеет смысла так как:

1. Ссылки достаточно защищены
2. просмотр счета доступен в том числе и не зарегистрированным пользователям, в некоторых магазинах регистрировать пользователя это верх кощунства как и давать им только pdf
3. ссылки динамичны, нигде не хранятся (только у вас на почте если вы храните - СООБСТВЕННО КАК И САМ PDF)
4. ссылки защищены от перебора (нельзя получить данные из других ссылок имея одну или несколько ссылок)
5. ССЫЛКА ЗАЩИЩЕНА КОДОМ - АНАЛОГ ПАРОЛЯ для аккаунта (ТОЛЬКО УНИКАЛЬНЫЙ ДЛЯ КАЖДОГО ЗАКАЗА И МАГАЗИНА в отличии от пароля - и внимание барабанная дробь У ВАШЕГО ПОКУПАТЕЛЯ МОЖЕТ БЫТЬ ПАРОЛЬ 12345 - логин и так понятно это почта где он фоткает за спиной)
6. Никакой другой счет другого человека вы не откроете по одной ссылке
7. Никакой другой заказ этого же покупателя вы не откроете по одной и тойже ссылке
8. По данным ссылкам никакое изменение данных в счете не возможно ! (это только картинка на экране тажа самая что будет на фотке если стоя за спиной ктото фоткнет на мобилу)
9. фотографировать можно не ссылку а уже открытый счет в таком случае или когда кто то лазиет в админ панели тоже можно заказы фотографировать
   также можно фотографировать уже защищенный логин и паролем счет который вы так горите сделать
   встать сзади и фоткать и фоткать и фоткать!
10. а можно встать взади и снять видео как вы пальцами по клавиатуре пароль набираете (а может покупатель задать пароль 12345 вообще тогда и  видео снимать не надо)
11. содержание ваших реквизитов из счета можно получить просто совершив заказ, к чему все усложнять - иначе как вы будите получать оплату (получить реквизиты других заказов вы не сможете читайте выше почему - ссылки защищены)

[Wild]

В целом я согласен с вами и мне в общем-то монопенисуально, но как я писал выше, не все думают как вы (ваши аргументы я заказчику показывал, они его не убедили). <:-((
Да и вы не суд первой инстанции.
А заказчик, как известно, всегда прав (читай "зачастую приходится терпеть его закидоны")!
И я думаю, что он не один такой.
По этому я просто предложил во избежание подобных недоразумений добавить подобную опцию в модуль, чтобы работало и так и так.
Ведь там работы всего-ничего!
Добавить в настройки чекбокс или радиобаттоны, в контроллер логику islogged и мелкие брызги в шаблоне.
У себя вчера сделал, получился вполне универсальный вариант.

Меня просто удивило что вы восприняли мое предложение категорически в штыки.

И я не вижу ничего плохого в PDF для гостей без ссылок на счет.

P.S. Кстати рекомендую все таки реализовать подобное, пусть клиент сам решает как ему поступать.
Если он параноик, то попытка переубедить его - это лишние потерянные нервные клетки у себя.
Оно мне надо?

[ashap]

20 минут назад, Wild сказал:

В целом я согласен с вами и мне в общем-то монопенисуально, но как я писал выше, не все думают как вы (ваши аргументы я заказчику показывал, они его не убедили). <:-((
Да и вы не суд первой инстанции.
А заказчик, как известно, всегда прав (читай "зачастую приходится терпеть его закидоны")!
И я думаю, что он не один такой.
По этому я просто предложил во избежание подобных недоразумений добавить подобную опцию в модуль, чтобы работало и так и так.
Ведь там работы всего-ничего!
Добавить в настройки чекбокс или радиобаттоны, в контроллер логику islogged и мелкие брызги в шаблоне.
У себя вчера сделал, получился вполне универсальный вариант.

Меня просто удивило что вы восприняли мое предложение категорически в штыки.

И я не вижу ничего плохого в PDF для гостей без ссылок на счет.

P.S. Кстати рекомендую все таки реализовать подобное, пусть клиент сам решает как ему поступать.
Если он параноик, то попытка переубедить его - это лишние потерянные нервные клетки у себя.
Оно мне надо?

Ну так делайте

11 аргументов против 1 сфоткают за спиной

В данном муделе такого бреда не будет

Индивидуально , платно , без проблем

Обращайтесь сделаю как нужно и как вы считаете вам надо.

[Wild]

Уже.
Еще вчера.

[ashap]

12 минут назад, Wild сказал:

Уже.
Еще вчера.

Я понял только вот одним islogged вы не обойдетесь. Смысл что вы проверили залогинен ли покупатель . Ну залогинюсь  я под другой учётной записью .

 

Ну это я написал всем кто хочет индивидуальных хотелок

И как то, что то, видит по своему

 

[Wild]

5 минут назад, ashap сказал:

Я понял только вот одним islogged вы не обойдетесь.

Я в курсе.
Спасибо.

[ashap]

2 минуты назад, Wild сказал:

Я в курсе.
Спасибо.

 

Пожалуйста .