Zone-Emu RIP > Général > Aide et support > Résolues > Sécurisation Allopass ?

Sécurisation Allopass ?
(11-04-2011 10:47) Mick3y3d [1]
Bonjour à tous,

je suis en train de développer une partie Allopass pour mon serveur (ça m'aidera à financer l'hébergement Clin ), et je me pose la question de la sécurisation.

J'ai quelques questions à ce sujet :
- les scripts fournis par Allopass (à intégrer aux pages d'achat et aux pages "payantes") sont-ils suffisants pour empêcher la fraude ?
- quel moyen j'ai pour valider (via une requête ou autre?) qu'un achat a bien été effectué et validé par Allopass ?

Si des personnes utilisant ce système veulent bien m'aiguiller Smile
(11-04-2011 13:20) Magus [5]
Si les scripts étaient mal sécurisé, je pense qu'Allopass s'en serait rendu compte. Parce que beaucoup de monde connait ces scripts justement (vu qu'ils les donnent) et donc il sera facile d'exploiter la faille :/

Je n'ai pas très bien compris la 2ème question en fait Erf

Les achats d'Allopass ne se font pas chez toi. Sur ton site, la seule chose qui est entrée c'est le code Allopass. C'est Allopass qui gère les paiement et tout ce qui va avec. Toi tu es reçois de l'argent en fonction du nombre de code rentré sur ton site.

Tout ce que fais Allopass avec son script c'est t'indiquer si le code rentré est valide ou pas. Après c'est à toi de décider de ce que tu fais de cette réponse.
(11-04-2011 13:36) Mick3y3d [1]
Merci de ta réponse.

Je vais essayer d'être plus clair Smile
Je viens de faire des tests avec un code Allopass d'essai (Je précise que j'ai bien intégré les 2 scripts fournis par Allopass censés sécuriser les paiements et l'accès aux pages "payantes").

J'arrive sur ma page de paiement, j'entre mon code d'essai, je valide, j'arrive sur ma page "payante", avec une url du type :
allopass-2.php?codes=[LeCodeEssai]&code=[LeCodeEssai]&trxid=[IdTransaction]&transaction_id=[IdTransaction]
et mon script php (ajout de points) est exécuté.

Si j'essaye d'accéder en direct à ma page "payante" allopass-2.php, l'accès est refusé, normal.

Sauf que, si je prends mon url indiquée plus haut et que je la copie/colle sur un autre pc, j'accède à la page "payante" alors que le code a déjà été utilisé. De même, je peux m'ajouter les points en boucle si j'actualise la page...

D'où ma question : comment puis-je faire pour contrer ce problème ?
(11-04-2011 14:01) Elmsroth [41]
Salut Mick3y3d,

Ayant travaillé pendant des années avec Allopass & Rentabiliweb je connais bien leur fonctionnement.

Assures-toi de bien avoir configuré ton document Allopass pour 1 code avec UNE SEULE UTILISATION.

Une sécurité absolue réside dans le fait de pouvoir vérifier AUSSI les Allopass de ton côté. C'est à dire que tu fais une table en base où tu as une liste du type :
Code :
id | account_id | code | securedTransaction | date

Que tu remplis à chaque code acheté.

Et donc avant chaque action de crédit tu te fait une petite fonction
Code PHP :
function isAllopassValid($code)
{
   //code pour tester si l'allopass est bien dans la base (je te laisse le coder ça prends 2min)
  //@return : TRUE si le code n'est pas dedans | FALSE si le code existe déjà dedans.


Seul bémol : tu devras mettre à jour ton code Allopass de TEST à chaque fois test car il sera reconnu comme invalide avec cette astuce.
(11-04-2011 14:36) Mick3y3d [1]
Ok merci pour le coup de main, je vois bien la démarche.

J'ai essayé en mettant mon code de test. Donc la première fois ce sera valide, le code sera intégré en base et donc ne sera plus utilisable. Ca répond donc en partie à mon problème. Mais si je change les valeurs de 'code' en mettant des trucs bidon genre 'code=toto', la page est accessible et les points sont bien distribués...
(11-04-2011 15:12) Elmsroth [41]
Hum dans ce cas c'est un souci de Allopass ou alors tu as mal configuré ton API.
(11-04-2011 15:18) Mick3y3d [1]
(11-04-2011 15:12)Elmsroth a écrit :  Hum dans ce cas c'est un souci de Allopass ou alors tu as mal configuré ton API.

Beh à part avoir mis ça sur ma page "payante" (après saisie du code donc), qui est uniquement le code de sécurisation fourni par Allopass :

Code :
<noscript>
    <meta http-equiv="Refresh" content="0;url=https://payment.allopass.com/error.apu?ids=xxxxxx&idd=xxxxxx">
    </noscript>
    
    <script type="text/javascript" src="https://payment.allopass.com/api/secure.apu?ids=xxxxxx&idd=xxxxxx"></script>

Je n'ai rien configuré du tout. Mon "produit" Allopass est bien défini comme valide une seule fois, bref je ne vois pas Triste
Édition :
Ok au temps pour moi, j'ai trouvé les infos dont j'avais besoin ici :

http://www.allopass.com/fr/support/faq/oneshot

C'est horrible comme leur site est mal foutu je trouve. Bref je passe le sujet en résolu, en théorie avec ça plus ton aide Elmsroth, ça devrait le faire Clin

Retourner en haut Accueil