BiTel

Форум BiTel
bgbilling.ru     docs.bitel.ru     wiki.bitel.ru     dbinfo.bitel.ru     bgcrm.ru     billing.bitel.ru     bitel.ru    
Текущее время: 29 мар 2024, 05:58

Часовой пояс: UTC + 5 часов [ Летнее время ]




Начать новую тему Ответить на тему  [ Сообщений: 8 ] 
Автор Сообщение
СообщениеДобавлено: 09 фев 2015, 06:37 
Не в сети
Клиент

Зарегистрирован: 10 окт 2012, 17:00
Сообщения: 339
Карма: 0
В прошлом году Assist начал делать проверку на соответствие домена:

Цитата:
По требованию международных платежных систем, доступ к сервисам системы должен предоставляться только для зарегистрированного домена. Все запросы, поступающие с прочих сайтов, должны блокироваться. Ранее подобная проверка (на соответствие домена) не проводилась в нашей системе, однако по требованию МПС и банков-эквайеров, она была активирована.


в результате чего часто стали приходить уведомления типа такого:

Цитата:
Уважаемый клиент!
Сообщаем Вам, что по Вашему предприятию были зафиксированы запросы на оплату, поступившие в систему с незарегистрированных в АПК Ассист сайтов.
Напоминаем Вам, что по требованию международных платежных систем, доступ к сервисам АПК Ассист должен предоставляться только для домена, зарегистрированного в МПС Visa и MasterCard Банком-эквайером, и указанного Вами в договоре с ООО "Ассист".
Обращаем Ваше внимание на то, что все запросы, поступающие с прочих сайтов, будут блокироваться системой в автоматическом режиме.


После общения с техпоодержкой Assist выяснилось, что я давным-давно по недомыслию прописал в настройках биллинга в основной конфигурации и настройках модуля Assist ip-адрес вместо доменного имени. И запросы к платежной системе типа https://lk.provider.ru:8443 проходят, а запросы с ip-адресом https://xx.xxx.xxx.xxx:8443 отклоняются. Когда исправлял, заодно проверил настройки сайта компании, каталог webroot в биллинге, настройки в ЛК платежной системе на предмет "голого" ip-адреса. Проверил прохождение платежей. Тем не менее, примерно раз в месяц уведомления продолжают приходить.

Совет в связи с этим нужен такой - на стороне биллинга где еще могут быть записи в настройках по данной проблеме и на что нужно обратить внимание?


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 09 фев 2015, 13:05 
Не в сети
Аватара пользователя

Зарегистрирован: 30 май 2008, 15:51
Сообщения: 6055
Карма: 244
Единственное место, откуда поступают запросы в ассист со стороны биллинга - это при переходе из личного кабинета на их сторонний шлюз.
Есть ещё вариант ручного запроса из клиента биллинга статуса платежей. Но там не запросы на оплату. Запросы на оплату - только из ЛК и туда подставляется тот домен, что указан в конфиге, другой информации , об IP итд у биллинга просто нету.
Возможно, запросы подделывают просто?

_________________
I'm clever. I've got a computer.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 09 фев 2015, 15:55 
Не в сети
Аватара пользователя

Зарегистрирован: 30 май 2008, 15:51
Сообщения: 6055
Карма: 244
Хотя, может, неверно понял. Потому что фраза странная:
Цитата:
были зафиксированы запросы на оплату, поступившие в систему с незарегистрированных в АПК Ассист сайтов.

С каких таких сайтов? Как так незарегистрированых? Как они проверяют?
А если https://lk.provider.ru:8443 - это урл вашего кабинета, тогда совсем непонятно. Особенно что и где вы в конфиге меняли что-то на этот счёт.

_________________
I'm clever. I've got a computer.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 10 фев 2015, 12:26 
Не в сети
Клиент

Зарегистрирован: 10 окт 2012, 17:00
Сообщения: 339
Карма: 0
dimOn писал(а):
Единственное место, откуда поступают запросы в ассист со стороны биллинга - это при переходе из личного кабинета на их сторонний шлюз.
Есть ещё вариант ручного запроса из клиента биллинга статуса платежей. Но там не запросы на оплату. Запросы на оплату - только из ЛК и туда подставляется тот домен, что указан в конфиге, другой информации , об IP итд у биллинга просто нету.
Возможно, запросы подделывают просто?


Не исключено, что и подделывают. Хочу свериться, что в части биллинга сделал все более-менее правильно.

dimOn писал(а):
Хотя, может, неверно понял. Потому что фраза странная:
Цитата:
были зафиксированы запросы на оплату, поступившие в систему с незарегистрированных в АПК Ассист сайтов.

С каких таких сайтов? Как так незарегистрированых? Как они проверяют?
А если https://lk.provider.ru:8443 - это урл вашего кабинета, тогда совсем непонятно. Особенно что и где вы в конфиге меняли что-то на этот счёт.


Они считают незарегистрированными все сайты, включая мой ip-адрес, кроме доменного имени, присвоенного моему сайту. То есть, например, если сайт - lk.provider.ru и ему соответствует ip-адрес 10.10.10.10, то обращение с моим ip-адресом будет рассмотрено как "незарегистрированный сайт".

Я поменял в конфигах вот что:

- модуль Assist - assist.path=https://lk.provider.ru:8443/bgbilling/webexecuter
- опции в основной конфигурации: web.xslt, web.xslt.https, contract.password.forgot.link - в них тоже прописал ссылки с доменным именем вместо ip-адреса.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 10 фев 2015, 16:55 
Не в сети
Аватара пользователя

Зарегистрирован: 30 май 2008, 15:51
Сообщения: 6055
Карма: 244
Так что означает "обращение с моим ip-адресом"? Там HTTP referer проверяется или как?
Тогда второй вариант (кроме подделки): кто-то заходит в ваш ЛК по ip а не по доменному имени и пытается платить. Это возможно?

_________________
I'm clever. I've got a computer.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 фев 2015, 06:06 
Не в сети
Клиент

Зарегистрирован: 10 окт 2012, 17:00
Сообщения: 339
Карма: 0
dimOn писал(а):
Так что означает "обращение с моим ip-адресом"? Там HTTP referer проверяется или как?
Тогда второй вариант (кроме подделки): кто-то заходит в ваш ЛК по ip а не по доменному имени и пытается платить. Это возможно?


Да, проверяется HTTP referer, техподдержка пишет об этом так:

Цитата:
Часть платежей проходит нормально, так как запросы поступают с домена "lk.provider.ru" (HTTP_REFERER https://lk.therion28.ru:8443/bgbilling/webexecuter). <https://lk.provider.ru:8443/bgbilling/webexecuter%29.> Однако прочие запросы на оплату приходят с https://10.10.10.10:8443/bgbilling/webexecuter и поэтому отклоняются.


В части входа в ЛК по ip - в ЛК абонент попадает по ссылке, размещенной на сайте компании, сайт компании тоже проверил на то, чтобы ссылки были корректные. Скорее всего есть поддельные соединения, но это уже к биллингу, конечно, не относится, получается, что в нем я все что нужно исправил. Спасибо за разъяснения.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 фев 2015, 12:13 
Не в сети
Аватара пользователя

Зарегистрирован: 30 май 2008, 15:51
Сообщения: 6055
Карма: 244
Ну это внешнее, да, биллинг ни при чём.
Может просто кто-то специально заходит по IP в ваш ЛК и всё. Сохранил в закладки, например. Например были когда-то проблемы с днс локальным или что-то типа того, я сам так делал бывало.
Этот IP который вы назвали 10.10.10.10:8443 (который техподдержка сказала) - это ваш IP личного кабинета?
Потому что подделывать запросы в принципе бесполезно.
и уж если подделывать автоматическими средствам (конструируя запрос программно, например) - почему бы не подделать referer (тем более, если это ваш IP вместо этого зачем-то ставится, какой смысл).
а если подделывается просто в командной строке/странице ручками, то для этого всё равно надо по IP зайти корректному, чтобы реферер был соответствующий, что тоже нелепо.

_________________
I'm clever. I've got a computer.


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: 11 фев 2015, 12:52 
Не в сети
Клиент

Зарегистрирован: 10 окт 2012, 17:00
Сообщения: 339
Карма: 0
Цитата:
Этот IP который вы назвали 10.10.10.10:8443 (который техподдержка сказала) - это ваш IP личного кабинета?


Да, это мой ip. Еще раз спасибо за разъяснения (:


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 8 ] 

Часовой пояс: UTC + 5 часов [ Летнее время ]


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
POWERED_BY
Русская поддержка phpBB
[ Time : 0.088s | 34 Queries | GZIP : On ]