forum.bitel.ru http://forum.bitel.ru/ |
|
Оплата с незарегистрированного URL http://forum.bitel.ru/viewtopic.php?f=32&t=10155 |
Страница 1 из 1 |
Автор: | abu [ 09 фев 2015, 06:37 ] |
Заголовок сообщения: | Оплата с незарегистрированного URL |
В прошлом году Assist начал делать проверку на соответствие домена: Цитата: По требованию международных платежных систем, доступ к сервисам системы должен предоставляться только для зарегистрированного домена. Все запросы, поступающие с прочих сайтов, должны блокироваться. Ранее подобная проверка (на соответствие домена) не проводилась в нашей системе, однако по требованию МПС и банков-эквайеров, она была активирована. в результате чего часто стали приходить уведомления типа такого: Цитата: Уважаемый клиент! Сообщаем Вам, что по Вашему предприятию были зафиксированы запросы на оплату, поступившие в систему с незарегистрированных в АПК Ассист сайтов. Напоминаем Вам, что по требованию международных платежных систем, доступ к сервисам АПК Ассист должен предоставляться только для домена, зарегистрированного в МПС Visa и MasterCard Банком-эквайером, и указанного Вами в договоре с ООО "Ассист". Обращаем Ваше внимание на то, что все запросы, поступающие с прочих сайтов, будут блокироваться системой в автоматическом режиме. После общения с техпоодержкой Assist выяснилось, что я давным-давно по недомыслию прописал в настройках биллинга в основной конфигурации и настройках модуля Assist ip-адрес вместо доменного имени. И запросы к платежной системе типа https://lk.provider.ru:8443 проходят, а запросы с ip-адресом https://xx.xxx.xxx.xxx:8443 отклоняются. Когда исправлял, заодно проверил настройки сайта компании, каталог webroot в биллинге, настройки в ЛК платежной системе на предмет "голого" ip-адреса. Проверил прохождение платежей. Тем не менее, примерно раз в месяц уведомления продолжают приходить. Совет в связи с этим нужен такой - на стороне биллинга где еще могут быть записи в настройках по данной проблеме и на что нужно обратить внимание? |
Автор: | dimOn [ 09 фев 2015, 13:05 ] |
Заголовок сообщения: | Re: Оплата с незарегистрированного URL |
Единственное место, откуда поступают запросы в ассист со стороны биллинга - это при переходе из личного кабинета на их сторонний шлюз. Есть ещё вариант ручного запроса из клиента биллинга статуса платежей. Но там не запросы на оплату. Запросы на оплату - только из ЛК и туда подставляется тот домен, что указан в конфиге, другой информации , об IP итд у биллинга просто нету. Возможно, запросы подделывают просто? |
Автор: | dimOn [ 09 фев 2015, 15:55 ] |
Заголовок сообщения: | Re: Оплата с незарегистрированного URL |
Хотя, может, неверно понял. Потому что фраза странная: Цитата: были зафиксированы запросы на оплату, поступившие в систему с незарегистрированных в АПК Ассист сайтов. С каких таких сайтов? Как так незарегистрированых? Как они проверяют? А если https://lk.provider.ru:8443 - это урл вашего кабинета, тогда совсем непонятно. Особенно что и где вы в конфиге меняли что-то на этот счёт. |
Автор: | abu [ 10 фев 2015, 12:26 ] |
Заголовок сообщения: | Re: Оплата с незарегистрированного URL |
dimOn писал(а): Единственное место, откуда поступают запросы в ассист со стороны биллинга - это при переходе из личного кабинета на их сторонний шлюз. Есть ещё вариант ручного запроса из клиента биллинга статуса платежей. Но там не запросы на оплату. Запросы на оплату - только из ЛК и туда подставляется тот домен, что указан в конфиге, другой информации , об IP итд у биллинга просто нету. Возможно, запросы подделывают просто? Не исключено, что и подделывают. Хочу свериться, что в части биллинга сделал все более-менее правильно. dimOn писал(а): Хотя, может, неверно понял. Потому что фраза странная: Цитата: были зафиксированы запросы на оплату, поступившие в систему с незарегистрированных в АПК Ассист сайтов. С каких таких сайтов? Как так незарегистрированых? Как они проверяют? А если https://lk.provider.ru:8443 - это урл вашего кабинета, тогда совсем непонятно. Особенно что и где вы в конфиге меняли что-то на этот счёт. Они считают незарегистрированными все сайты, включая мой ip-адрес, кроме доменного имени, присвоенного моему сайту. То есть, например, если сайт - lk.provider.ru и ему соответствует ip-адрес 10.10.10.10, то обращение с моим ip-адресом будет рассмотрено как "незарегистрированный сайт". Я поменял в конфигах вот что: - модуль Assist - assist.path=https://lk.provider.ru:8443/bgbilling/webexecuter - опции в основной конфигурации: web.xslt, web.xslt.https, contract.password.forgot.link - в них тоже прописал ссылки с доменным именем вместо ip-адреса. |
Автор: | dimOn [ 10 фев 2015, 16:55 ] |
Заголовок сообщения: | Re: Оплата с незарегистрированного URL |
Так что означает "обращение с моим ip-адресом"? Там HTTP referer проверяется или как? Тогда второй вариант (кроме подделки): кто-то заходит в ваш ЛК по ip а не по доменному имени и пытается платить. Это возможно? |
Автор: | abu [ 11 фев 2015, 06:06 ] |
Заголовок сообщения: | Re: Оплата с незарегистрированного URL |
dimOn писал(а): Так что означает "обращение с моим ip-адресом"? Там HTTP referer проверяется или как? Тогда второй вариант (кроме подделки): кто-то заходит в ваш ЛК по ip а не по доменному имени и пытается платить. Это возможно? Да, проверяется HTTP referer, техподдержка пишет об этом так: Цитата: Часть платежей проходит нормально, так как запросы поступают с домена "lk.provider.ru" (HTTP_REFERER https://lk.therion28.ru:8443/bgbilling/webexecuter). <https://lk.provider.ru:8443/bgbilling/webexecuter%29.> Однако прочие запросы на оплату приходят с https://10.10.10.10:8443/bgbilling/webexecuter и поэтому отклоняются. В части входа в ЛК по ip - в ЛК абонент попадает по ссылке, размещенной на сайте компании, сайт компании тоже проверил на то, чтобы ссылки были корректные. Скорее всего есть поддельные соединения, но это уже к биллингу, конечно, не относится, получается, что в нем я все что нужно исправил. Спасибо за разъяснения. |
Автор: | dimOn [ 11 фев 2015, 12:13 ] |
Заголовок сообщения: | Re: Оплата с незарегистрированного URL |
Ну это внешнее, да, биллинг ни при чём. Может просто кто-то специально заходит по IP в ваш ЛК и всё. Сохранил в закладки, например. Например были когда-то проблемы с днс локальным или что-то типа того, я сам так делал бывало. Этот IP который вы назвали 10.10.10.10:8443 (который техподдержка сказала) - это ваш IP личного кабинета? Потому что подделывать запросы в принципе бесполезно. и уж если подделывать автоматическими средствам (конструируя запрос программно, например) - почему бы не подделать referer (тем более, если это ваш IP вместо этого зачем-то ставится, какой смысл). а если подделывается просто в командной строке/странице ручками, то для этого всё равно надо по IP зайти корректному, чтобы реферер был соответствующий, что тоже нелепо. |
Автор: | abu [ 11 фев 2015, 12:52 ] |
Заголовок сообщения: | Re: Оплата с незарегистрированного URL |
Цитата: Этот IP который вы назвали 10.10.10.10:8443 (который техподдержка сказала) - это ваш IP личного кабинета? Да, это мой ip. Еще раз спасибо за разъяснения (: |
Страница 1 из 1 | Часовой пояс: UTC + 5 часов [ Летнее время ] |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |