We launched new forums in March 2019—join us there. In a hurry for help with your website? Get Help Now!
MODX Community Forums Archive

Hoe zat dat nou met die Just-eat bug?

    • 36875
    • 5 Posts
    DutchIris Reply #1, 14 years, 2 months ago
    Velen van jullie zullen gelezen hebben over de site Just-eat, waar het door een beveiligingsfout mogelijk was om eten te bestellen voor een paar cent en dit af te rekenen met Ideal. Voor wie het verhaal nog niet kent: http://www.bizz.nl/6627-just-eat-voor-al-uw-gratis-afhaalmaaltijden.html

    Nu sta ik zelf op het punt om Ideal voor een klant in een (kleine) webwinkel te gaan hangen, en ik wil natuurlijk niet dezelfde fout maken. Ik heb op een heleboel plekken gelezen dat het probleem in hidden input velden zit. Met andere woorden, je maakt een form aan en geeft het bedrag dat de klant moet betalen als volgt mee: 

    <input type="hidden" name="amount" value="100" >


    Met dergelijke hidden parameters is door de gebruiker te rommelen en zo heb je een probleem. Dat is althans wat ik gelezen heb. Misschien een stomme vraag, maar hoe moet je dit dan wel doen? Je moet op een of andere manier toch dat bedrag met je request aan Ideal meesturen. Een session variabele kan niet, want daar heeft Ideal niets aan.

    En trouwens, werken veel sites die Paypal gebruiken niet op precies dezelfde manier, dus ook met zo’n hidden parameter? Loopt daar dan ook iedereen te jatten smiley ?

      • 12943
      • 97 Posts
      IngMA Reply #2, 14 years, 2 months ago
      Dat lag toch aan de brakke homebrew van die pizzaboer? Die vergat een belangrijke regel. Namelijk als je je eigen meuck niet goed test wil dat niet zeggen dat anderen dat niet voor je doen. Vandaar vaak ook de tip: RTFM rolleyes

      Ik weet verder niet waar je het gelezen hebt, maar ik zie het probleem niet. En ik ken iDeal niet eens. Het gaat i.e.g niet over MODx..
        Accelerate your Windows system with 9.8 m/s2.
        • 36875
        • 5 Posts
        DutchIris Reply #3, 14 years, 2 months ago
        Tja, het gaat niet speciaal over ModX, dat klopt wel. Maar ik dacht: er zullen hier toch wel meer mensen zijn die wel eens iDeal voor een klant in een site hebben moeten hangen.

        Het lag ook aan de brakke homebrew van Justeat, en daarom ben ik er juist in geïnteresseerd. Ik wil voorkomen dat mijn eigen homebrew net zo brak wordt. Dat is toch niet zo gek? Het probleem is dat de websitebezoeker een hidden input zo aan kan passen en er dus een ander bedrag in kan zetten. Maar ik ben er intussen achter gekomen dat ik het met encryptie aan moet pakken dus ik kom er wel uit verder.
          • 12943
          • 97 Posts
          IngMA Reply #4, 14 years, 2 months ago
          Encryptie is vast een woord dat in iDeal manuals voorkomt, denk ik ook rolleyes
          Verder ken ik iDeal stiekem wel. Maar dat was in hun jarenlange testfase, waardoor ik toen andere oplossing koos voor een klant. Nu zou ik voor iDeal gaan want dit lijkt me wel zo handig en veilig. Ongeacht de onzichtbare toverveldjes grin Maar goed, je blijft wel zelf verantwoordelijk. Dus als ik 0,01 euro zie binnenkomen stuur ik niet een knul met een pizza op pad. Succes.
            Accelerate your Windows system with 9.8 m/s2.
            • 7455
            • 2,204 Posts
            Dimmy Reply #5, 14 years, 1 month ago
            Ik denk dat het ook te maken heeft met de overdracht van pagina naar pagina daar kan je veel beter sessions voor gebruiken dan hidden fields. en altijd checken of het gene wat besteld word ( nummer12345 = pizza a 5 euro) ook de som van x maal nummer12345 ook x maal 5 is.

            etc etc genoeg dingen die je kan doen om te chekken of alles wel klopt.
              follow me on twitter: @dimmy01