Sind in phPay die Teile, wo Kundendaten durch's Netz sausen, irgendwie gesichert?
Oder: knnen datensicherheitsrelevante Teile in einen SSL-Bereich auf dem Server liegen?
Danke und Grsse aus WI,
Joachim
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Du kannst alles zusammen auf einem SecureWebserver ablegen. Einzelteile nur von einem solchen Server zu beziehen ist nicht geplant/eingebaut.
phPay speichert die Pawrter nur verschlsselt in der Datenbank; das Problem ist natrlich, da diese auf normalen Webservern erstmal mit einem ungeschtzen Formular verschickt werden :-(
Insgesamt werden aber recht wenige Daten (ich wei auch das kann schon zuviel sein ;-) berhaupt von Seite zu Seite transportiert.
Spannende stellen wren:
- die Anmeldung (reguser.php bzw. *uupd.inc.php und pay.php?mode=edit)
- 'Pawort vergessen' (fpass.php)
Sonst wird der Benutzer immer an der SessionID identifiziert. Kundendaten werden immer neu aus der Datenbank eingelesen.
Gru aus F ;-)
Andreas.
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
danke fr die schnelle Antwort, das wre ja eine Lsung.
Ich persnlich habe nur ein Problem:
bei Puretec hat man eine recht unschne Sub-Domain fr SSL-Bereiche.
Knnte man eine Frame-Seite unter der "normalen" URL ablegen (z.B. "www.meinshop.de"), die nur einen Frame enthlt, nmlich die phPay Startseite?
Alle phPay-Dateien und Verzeichnisse wrden dann im SSL-Bereich liegen, bloss diese URL wre dann dich sichtbar?
Grsse,
Joachim
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Wenn Du die Mglichkeit hast alles auf einen SecureWebserver abzulegen ist das sicherlich die bessere Variante, weil dann auch die SessionID verschlsselt bertragen wird (wenn einer die abfngt und benutzt, knnte er bis zum Logout des Users die Sitzung bernehmen).
phPay funktioniert prinzipiell in einem Frameset. Es gibt allerdings ein paar Formulare, die target="_parent" verwenden z.B. reguser.php. Wenn dieses Formular nun zweimal nacheinander aufrufst, knnte es sein, da '_parent' Dein 'Tarnframe' ist.
Gru aus MZ,
Andreas.
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Hallo, ich habe jetzt einen exclusive-Server bei 1und1. Dabei gab es mit SSL folgendes Problem. Es luft alles, bis auf das ndern von Gren (z.B. Farbe rot, grn, lila). Dabei kommt es zur Meldung "Fehler: kein SSL-Proxy aktiviert". Abhilfe erhlt man, wenn man den Link, der in der size.php zum ndern aufgerufen wird mit der kompletten URL schreibt. Beispiel 2. Zeile size.php
$url="https://ssl.kundenserver.de/ko-libri.de$SCRIPT_NAME";
Lutz
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Anonymous
-
2003-01-02
Hallo, Joachim,
ich betreibe phpay produktiv seit einigen Tagen *stolzsei* in einem Frameset, wo nur der phpay-Teil tatschlich SSL spricht. Geht einwandfrei, besser ist allerdings wenn Du dem Rat von Andreas folgst!
Ggf. kannst Du Dir die Teile, die von dem unsecuren Server kommen via Server Side Includes einbinden, wenn Puretec sowas kann.
Gru Hajo
If you would like to refer to this comment somewhere else in this project, copy and paste the following link:
Hallo,
vieleicht habe ich es noch nicht entdeckt
Sind in phPay die Teile, wo Kundendaten durch's Netz sausen, irgendwie gesichert?
Oder: knnen datensicherheitsrelevante Teile in einen SSL-Bereich auf dem Server liegen?
Danke und Grsse aus WI,
Joachim
Du kannst alles zusammen auf einem SecureWebserver ablegen. Einzelteile nur von einem solchen Server zu beziehen ist nicht geplant/eingebaut.
phPay speichert die Pawrter nur verschlsselt in der Datenbank; das Problem ist natrlich, da diese auf normalen Webservern erstmal mit einem ungeschtzen Formular verschickt werden :-(
Insgesamt werden aber recht wenige Daten (ich wei auch das kann schon zuviel sein ;-) berhaupt von Seite zu Seite transportiert.
Spannende stellen wren:
- die Anmeldung (reguser.php bzw. *uupd.inc.php und pay.php?mode=edit)
- 'Pawort vergessen' (fpass.php)
Sonst wird der Benutzer immer an der SessionID identifiziert. Kundendaten werden immer neu aus der Datenbank eingelesen.
Gru aus F ;-)
Andreas.
Hallo Andreas,
danke fr die schnelle Antwort, das wre ja eine Lsung.
Ich persnlich habe nur ein Problem:
bei Puretec hat man eine recht unschne Sub-Domain fr SSL-Bereiche.
Knnte man eine Frame-Seite unter der "normalen" URL ablegen (z.B. "www.meinshop.de"), die nur einen Frame enthlt, nmlich die phPay Startseite?
Alle phPay-Dateien und Verzeichnisse wrden dann im SSL-Bereich liegen, bloss diese URL wre dann dich sichtbar?
Grsse,
Joachim
Wenn Du die Mglichkeit hast alles auf einen SecureWebserver abzulegen ist das sicherlich die bessere Variante, weil dann auch die SessionID verschlsselt bertragen wird (wenn einer die abfngt und benutzt, knnte er bis zum Logout des Users die Sitzung bernehmen).
phPay funktioniert prinzipiell in einem Frameset. Es gibt allerdings ein paar Formulare, die target="_parent" verwenden z.B. reguser.php. Wenn dieses Formular nun zweimal nacheinander aufrufst, knnte es sein, da '_parent' Dein 'Tarnframe' ist.
Gru aus MZ,
Andreas.
Hallo, ich habe jetzt einen exclusive-Server bei 1und1. Dabei gab es mit SSL folgendes Problem. Es luft alles, bis auf das ndern von Gren (z.B. Farbe rot, grn, lila). Dabei kommt es zur Meldung "Fehler: kein SSL-Proxy aktiviert". Abhilfe erhlt man, wenn man den Link, der in der size.php zum ndern aufgerufen wird mit der kompletten URL schreibt. Beispiel 2. Zeile size.php
$url="https://ssl.kundenserver.de/ko-libri.de$SCRIPT_NAME";
Lutz
Hallo, Joachim,
ich betreibe phpay produktiv seit einigen Tagen *stolzsei* in einem Frameset, wo nur der phpay-Teil tatschlich SSL spricht. Geht einwandfrei, besser ist allerdings wenn Du dem Rat von Andreas folgst!
Ggf. kannst Du Dir die Teile, die von dem unsecuren Server kommen via Server Side Includes einbinden, wenn Puretec sowas kann.
Gru Hajo