forum.bitel.ru :: Просмотр темы - Оплата с незарегистрированного URL

По требованию международных платежных систем, доступ к сервисам системы должен предоставляться только для зарегистрированного домена. Все запросы, поступающие с прочих сайтов, должны блокироваться. Ранее подобная проверка (на соответствие домена) не проводилась в нашей системе, однако по требованию МПС и банков-эквайеров, она была активирована.

Уважаемый клиент!
Сообщаем Вам, что по Вашему предприятию были зафиксированы запросы на оплату, поступившие в систему с незарегистрированных в АПК Ассист сайтов.
Напоминаем Вам, что по требованию международных платежных систем, доступ к сервисам АПК Ассист должен предоставляться только для домена, зарегистрированного в МПС Visa и MasterCard Банком-эквайером, и указанного Вами в договоре с ООО "Ассист".
Обращаем Ваше внимание на то, что все запросы, поступающие с прочих сайтов, будут блокироваться системой в автоматическом режиме.

были зафиксированы запросы на оплату, поступившие в систему с незарегистрированных в АПК Ассист сайтов.

Единственное место, откуда поступают запросы в ассист со стороны биллинга - это при переходе из личного кабинета на их сторонний шлюз.
Есть ещё вариант ручного запроса из клиента биллинга статуса платежей. Но там не запросы на оплату. Запросы на оплату - только из ЛК и туда подставляется тот домен, что указан в конфиге, другой информации , об IP итд у биллинга просто нету.
Возможно, запросы подделывают просто?

Хотя, может, неверно понял. Потому что фраза странная:

Цитата:

были зафиксированы запросы на оплату, поступившие в систему с незарегистрированных в АПК Ассист сайтов.

С каких таких сайтов? Как так незарегистрированых? Как они проверяют?
А если https://lk.provider.ru:8443 - это урл вашего кабинета, тогда совсем непонятно. Особенно что и где вы в конфиге меняли что-то на этот счёт.

Так что означает "обращение с моим ip-адресом"? Там HTTP referer проверяется или как?
Тогда второй вариант (кроме подделки): кто-то заходит в ваш ЛК по ip а не по доменному имени и пытается платить. Это возможно?

Часть платежей проходит нормально, так как запросы поступают с домена "lk.provider.ru" (HTTP_REFERER https://lk.therion28.ru:8443/bgbilling/webexecuter). <https://lk.provider.ru:8443/bgbilling/webexecuter%29.> Однако прочие запросы на оплату приходят с https://10.10.10.10:8443/bgbilling/webexecuter и поэтому отклоняются.

Этот IP который вы назвали 10.10.10.10:8443 (который техподдержка сказала) - это ваш IP личного кабинета?

Автор:	abu [ 09 фев 2015, 06:37 ]
Заголовок сообщения:	Оплата с незарегистрированного URL
В прошлом году Assist начал делать проверку на соответствие домена: Цитата: По требованию международных платежных систем, доступ к сервисам системы должен предоставляться только для зарегистрированного домена. Все запросы, поступающие с прочих сайтов, должны блокироваться. Ранее подобная проверка (на соответствие домена) не проводилась в нашей системе, однако по требованию МПС и банков-эквайеров, она была активирована. в результате чего часто стали приходить уведомления типа такого: Цитата: Уважаемый клиент! Сообщаем Вам, что по Вашему предприятию были зафиксированы запросы на оплату, поступившие в систему с незарегистрированных в АПК Ассист сайтов. Напоминаем Вам, что по требованию международных платежных систем, доступ к сервисам АПК Ассист должен предоставляться только для домена, зарегистрированного в МПС Visa и MasterCard Банком-эквайером, и указанного Вами в договоре с ООО "Ассист". Обращаем Ваше внимание на то, что все запросы, поступающие с прочих сайтов, будут блокироваться системой в автоматическом режиме. После общения с техпоодержкой Assist выяснилось, что я давным-давно по недомыслию прописал в настройках биллинга в основной конфигурации и настройках модуля Assist ip-адрес вместо доменного имени. И запросы к платежной системе типа https://lk.provider.ru:8443 проходят, а запросы с ip-адресом https://xx.xxx.xxx.xxx:8443 отклоняются. Когда исправлял, заодно проверил настройки сайта компании, каталог webroot в биллинге, настройки в ЛК платежной системе на предмет "голого" ip-адреса. Проверил прохождение платежей. Тем не менее, примерно раз в месяц уведомления продолжают приходить. Совет в связи с этим нужен такой - на стороне биллинга где еще могут быть записи в настройках по данной проблеме и на что нужно обратить внимание?

Автор:	dimOn [ 09 фев 2015, 13:05 ]
Заголовок сообщения:	Re: Оплата с незарегистрированного URL
Единственное место, откуда поступают запросы в ассист со стороны биллинга - это при переходе из личного кабинета на их сторонний шлюз. Есть ещё вариант ручного запроса из клиента биллинга статуса платежей. Но там не запросы на оплату. Запросы на оплату - только из ЛК и туда подставляется тот домен, что указан в конфиге, другой информации , об IP итд у биллинга просто нету. Возможно, запросы подделывают просто?

Автор:	dimOn [ 09 фев 2015, 15:55 ]
Заголовок сообщения:	Re: Оплата с незарегистрированного URL
Хотя, может, неверно понял. Потому что фраза странная: Цитата: были зафиксированы запросы на оплату, поступившие в систему с незарегистрированных в АПК Ассист сайтов. С каких таких сайтов? Как так незарегистрированых? Как они проверяют? А если https://lk.provider.ru:8443 - это урл вашего кабинета, тогда совсем непонятно. Особенно что и где вы в конфиге меняли что-то на этот счёт.

Автор:	abu [ 10 фев 2015, 12:26 ]
Заголовок сообщения:	Re: Оплата с незарегистрированного URL
dimOn писал(а): Единственное место, откуда поступают запросы в ассист со стороны биллинга - это при переходе из личного кабинета на их сторонний шлюз. Есть ещё вариант ручного запроса из клиента биллинга статуса платежей. Но там не запросы на оплату. Запросы на оплату - только из ЛК и туда подставляется тот домен, что указан в конфиге, другой информации , об IP итд у биллинга просто нету. Возможно, запросы подделывают просто? Не исключено, что и подделывают. Хочу свериться, что в части биллинга сделал все более-менее правильно. dimOn писал(а): Хотя, может, неверно понял. Потому что фраза странная: Цитата: были зафиксированы запросы на оплату, поступившие в систему с незарегистрированных в АПК Ассист сайтов. С каких таких сайтов? Как так незарегистрированых? Как они проверяют? А если https://lk.provider.ru:8443 - это урл вашего кабинета, тогда совсем непонятно. Особенно что и где вы в конфиге меняли что-то на этот счёт. Они считают незарегистрированными все сайты, включая мой ip-адрес, кроме доменного имени, присвоенного моему сайту. То есть, например, если сайт - lk.provider.ru и ему соответствует ip-адрес 10.10.10.10, то обращение с моим ip-адресом будет рассмотрено как "незарегистрированный сайт". Я поменял в конфигах вот что: - модуль Assist - assist.path=https://lk.provider.ru:8443/bgbilling/webexecuter - опции в основной конфигурации: web.xslt, web.xslt.https, contract.password.forgot.link - в них тоже прописал ссылки с доменным именем вместо ip-адреса.

Автор:	dimOn [ 10 фев 2015, 16:55 ]
Заголовок сообщения:	Re: Оплата с незарегистрированного URL
Так что означает "обращение с моим ip-адресом"? Там HTTP referer проверяется или как? Тогда второй вариант (кроме подделки): кто-то заходит в ваш ЛК по ip а не по доменному имени и пытается платить. Это возможно?

forum.bitel.ru http://forum.bitel.ru/

Оплата с незарегистрированного URL http://forum.bitel.ru/viewtopic.php?f=32&t=10155	Страница 1 из 1

Автор:	abu [ 11 фев 2015, 06:06 ]
Заголовок сообщения:	Re: Оплата с незарегистрированного URL
dimOn писал(а): Так что означает "обращение с моим ip-адресом"? Там HTTP referer проверяется или как? Тогда второй вариант (кроме подделки): кто-то заходит в ваш ЛК по ip а не по доменному имени и пытается платить. Это возможно? Да, проверяется HTTP referer, техподдержка пишет об этом так: Цитата: Часть платежей проходит нормально, так как запросы поступают с домена "lk.provider.ru" (HTTP_REFERER https://lk.therion28.ru:8443/bgbilling/webexecuter). <https://lk.provider.ru:8443/bgbilling/webexecuter%29.> Однако прочие запросы на оплату приходят с https://10.10.10.10:8443/bgbilling/webexecuter и поэтому отклоняются. В части входа в ЛК по ip - в ЛК абонент попадает по ссылке, размещенной на сайте компании, сайт компании тоже проверил на то, чтобы ссылки были корректные. Скорее всего есть поддельные соединения, но это уже к биллингу, конечно, не относится, получается, что в нем я все что нужно исправил. Спасибо за разъяснения.

Автор:	dimOn [ 11 фев 2015, 12:13 ]
Заголовок сообщения:	Re: Оплата с незарегистрированного URL
Ну это внешнее, да, биллинг ни при чём. Может просто кто-то специально заходит по IP в ваш ЛК и всё. Сохранил в закладки, например. Например были когда-то проблемы с днс локальным или что-то типа того, я сам так делал бывало. Этот IP который вы назвали 10.10.10.10:8443 (который техподдержка сказала) - это ваш IP личного кабинета? Потому что подделывать запросы в принципе бесполезно. и уж если подделывать автоматическими средствам (конструируя запрос программно, например) - почему бы не подделать referer (тем более, если это ваш IP вместо этого зачем-то ставится, какой смысл). а если подделывается просто в командной строке/странице ручками, то для этого всё равно надо по IP зайти корректному, чтобы реферер был соответствующий, что тоже нелепо.

Автор:	abu [ 11 фев 2015, 12:52 ]
Заголовок сообщения:	Re: Оплата с незарегистрированного URL
Цитата: Этот IP который вы назвали 10.10.10.10:8443 (который техподдержка сказала) - это ваш IP личного кабинета? Да, это мой ip. Еще раз спасибо за разъяснения (:

Страница 1 из 1	Часовой пояс: UTC + 5 часов [ Летнее время ]
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/