[PHP] Veilig met iDeal betalingen omgaan

woensdag 11 juni 2008 13:09

Acties:

0 Henk 'm!

Topicstarter

Ik ben een website aan het bouwen waar je abonnementen kunt afsluiten op bepaalde services op de site. Hiervoor gebruik ik iDeal om te betalen.
iDeal verwacht onder andere een accept-url waar naar teruggekeerd kan worden als de betaling voltooid is, en dit gebeurt door middel van een hidden input-element. Hier heb ik nu een URL staan die (na betaling) het abonnement daadwerkelijk aanmaakt in de database. Uiteraard is dit zo onveilig als de pest, op het moment dat je handmatig naar die URL surft word het abonnement ook netjes aangemaakt zonder dat je betaald hebt.
Ik kan het natuurlijk zo doen dat de beheerder van de website alles handmatig moet goedkeuren, maar dat is zeker geen gewenste situatie.

Ook heb ik gezocht of je vanuit PHP kunt redirecten naar het iDeal-script en tegelijkertijd POST-waarden kunt meesturen, maar dit blijkt totaal onmogelijk te wezen vanwege de aard van POST (aparte payload)

Hoe kan ik veilig met iDeal omgaan? ik heb een soort validatie nodig dat de betaling correct is verlopen en met het juiste bedrag, maar iDeal stuurt deze data niet naar me terug..

edit: overigens gebruik ik de i-kassa van de rabobank als 3e partij wat betreft iDeal

[ Voor 3% gewijzigd door Intrepidity op 11-06-2008 13:12 ]

woensdag 11 juni 2008 13:19

Acties:

0 Henk 'm!

MueR

Admin Tweakers Discord

is niet lief

Je werkt toch met transacties? Je moet iDeal namelijk gewoon een transactienummer meegeven. Dit heb je ongetwijfeld gekoppeld aan een user. Ik zie wel mogelijkheden van verficiatie hoor. Zeker de interfaces van banken hebben genoeg veiligheidsmiddelen die je kan inzetten.

[ Voor 18% gewijzigd door MueR op 11-06-2008 13:20 ]

Anyone who gets in between me and my morning coffee should be insecure.

woensdag 11 juni 2008 13:37

Acties:

0 Henk 'm!

Niemand_Anders

Dat was ik niet..

Je moet het abonnement niet aanmaken als de gebruiker op de acceptatie url uitkomt, maar pas op het moment dat je van iDeal daadwerkelijk de 'paid' status ontvangt. Op het moment dat de gebruiker naar de acceptatie url wordt gestuurd is de status 'pending'.

De acceptatie url is eigenlijk meer bedoeld om mailjtes te sturen als 'bedankt voor uw bestelling/abonnement'.

If it isn't broken, fix it until it is..

woensdag 11 juni 2008 13:41

Acties:

0 Henk 'm!

Webgnome

Zoals muer al zegt. Je kunt een transactieID meesturen met de url die NET iets anders is als de originele transactieID. Dan kun je alsnog die link kopieren en plakken maar dat afvangen is natuurlijk easy solved

Strava | AP | IP | AW

woensdag 11 juni 2008 13:42

Acties:

0 Henk 'm!

Intrepidity

Topicstarter

Sorry, maar ik heb totaal geen verstand van ideal, ik ben gevraagd om uit te zoeken of ik dit kan realiseren.. Hoe en wanneer krijg je die status dan? Het enige wat ik hier zowat kan invoeren is een accept-url, bedrag, en nog wat andere geintjes waar ik niet zoveel aan heb.. Als ideal even fijn een pagina zou aanroepen als de betaling done was, okay, dan was het simpel, maar ik kan dat nergens terugvinden

woensdag 11 juni 2008 13:45

Acties:

0 Henk 'm!

Webgnome

Intrepidity schreef op woensdag 11 juni 2008 @ 13:42:
Sorry, maar ik heb totaal geen verstand van ideal, ik ben gevraagd om uit te zoeken of ik dit kan realiseren.. Hoe en wanneer krijg je die status dan? Het enige wat ik hier zowat kan invoeren is een accept-url, bedrag, en nog wat andere geintjes waar ik niet zoveel aan heb.. Als ideal even fijn een pagina zou aanroepen als de betaling done was, okay, dan was het simpel, maar ik kan dat nergens terugvinden

Staat dat niet gewoon in de ideal docs? Ik meen mij te herinneren dat het er gewoon instaat hoe het allemaal zit (ik ga er even vanuit dat je ideal Lite gebruikt want dit komt me allemaal bekend voor)

Strava | AP | IP | AW

woensdag 11 juni 2008 13:47

Acties:

0 Henk 'm!

RobIII

Admin Devschuur®

^ Romeinse Ⅲ ja!

Php

Intrepidity schreef op woensdag 11 juni 2008 @ 13:42:
Sorry, maar ik heb totaal geen verstand van ideal, ik ben gevraagd om uit te zoeken of ik dit kan realiseren..

Dan is het enige zinnige antwoord in dit topic: Lees de documentatie door.

En zover ik weet zijn wij dus niet gevraagd om dat uit te zoeken maar jij

Scheelt 1 letter maar is een wereld van verschil

Wat ga je doen als het mis gaat? Naar ons wijzen?

_{Dit laatste natuurlijk met een knipoog, maar wel met een dikke verwijzing naar de eerste regel in mijn post.}

[ Voor 35% gewijzigd door RobIII op 11-06-2008 13:49 ]

There are only two hard problems in distributed systems: 2. Exactly-once delivery 1. Guaranteed order of messages 2. Exactly-once delivery.

Je eigen tweaker.me redirect

Over mij

woensdag 11 juni 2008 13:49

Acties:

0 Henk 'm!

mddd

In de iDeal documentatie staat duidelijk hoe je de status van uitstaande betalingen kunt controleren. In je 'accept url' pagina moet je de status van de betreffende betaling bij iDeal controleren. Als die teruggeeft dat de betaling is geslaagd, dan pas voer je de benodigde activatie uit.

PV : 4650 Wp : 15 x AEG AS-M60XB-310 + GoodWe 4200D-NS : PVOutput

woensdag 11 juni 2008 13:50

Acties:

0 Henk 'm!

compufreak88

Met iDeal heb je twee verschillende soorten abonnementen. De light en de pro versie. De mogelijkheden verschillen per abonnement.

Dus om een zinnig antwoord te kunnen geven, moeten we ook weten welk abonnement je hebt.

woensdag 11 juni 2008 14:03

Acties:

0 Henk 'm!

Peedy

Intrepidity schreef op woensdag 11 juni 2008 @ 13:42:
Sorry, maar ik heb totaal geen verstand van ideal, ik ben gevraagd om uit te zoeken of ik dit kan realiseren.. Hoe en wanneer krijg je die status dan? Het enige wat ik hier zowat kan invoeren is een accept-url, bedrag, en nog wat andere geintjes waar ik niet zoveel aan heb.. Als ideal even fijn een pagina zou aanroepen als de betaling done was, okay, dan was het simpel, maar ik kan dat nergens terugvinden

Dit staat allemaal in je documentatie (ING Zakelijk heeft hele goede iDeal documentatie, kijk daar eens naar) maar dan toch; je hebt als het goed is van je bank een iDeal account gekregen met daarbij een soort control panel (bij Rabo het "Dashboard"). Hier kan je een URL invoeren die dan door de bank op de achtergrond wordt aangeroepen zodra een betaling is goedgekeurd. Hier kan je dan POST waardes zoals een transactienummer (desnoods gekoppeld met een email adres ter verificatie) aan mee geven. Aangezien dit op de achtergrond gebeurt zal de gebruiker nooit de URL te weten te komen en kan hij dus ook niet zonder te betalen een abonnement aanmaken.

Verder; wat compufreak88 zegt; als je light gebruikt moet je dergelijke dingen via bevestigingsmails gaan afvangen, wat meestal neerkomt op handmatig werk. Tenzij je kennis hebt van de werking van mail op servers en je ssh toegang hebt. Met de pro variant is dit alles makkelijk te doen zoals ik hierboven beschreven heb.

[ Voor 13% gewijzigd door Peedy op 11-06-2008 14:11 ]

woensdag 11 juni 2008 14:07

Acties:

0 Henk 'm!

Confusion

Fallen from grace

compufreak88 schreef op woensdag 11 juni 2008 @ 13:50:
Met iDeal heb je twee verschillende soorten abonnementen. De light en de pro versie. De mogelijkheden verschillen per abonnement.

Je hebt in Nederland tientallen mogelijkheden om iDeal betalingen voor elkaar te krijgen. Banken bieden zelf verschillende abbonnementen aan en daarnaast zijn er nog de payment service providers, die een deel van het zware werk doen en een vergemakkelijkte interface bieden om iDeal betalingen vanuit je webpagina mogelijk te maken. De Rabobank biedt naast iDeal lite en iDeal professional ook nog een iDeal kassa en een internetkassa. Dat zijn al vier verschillende abbonnementen.

Wie trösten wir uns, die Mörder aller Mörder?

woensdag 11 juni 2008 14:08

Acties:

0 Henk 'm!

compufreak88

Confusion schreef op woensdag 11 juni 2008 @ 14:07:
[...]

Je hebt in Nederland tientallen mogelijkheden om iDeal betalingen voor elkaar te krijgen. Banken bieden zelf verschillende abbonnementen aan en daarnaast zijn er nog de payment service providers, die een deel van het zware werk doen en een vergemakkelijkte interface bieden om iDeal betalingen vanuit je webpagina mogelijk te maken. De Rabobank biedt naast iDeal lite en iDeal professional ook nog een iDeal kassa en een internetkassa. Dat zijn al vier verschillende abbonnementen.

Ok, maar het was iig om aan te geven dat er verschillende iDeal abonnementen zijn.

woensdag 11 juni 2008 14:19

Acties:

0 Henk 'm!

.oisyn

Moderator Devschuur®

Demotivational Speaker

Php

compufreak88 schreef op woensdag 11 juni 2008 @ 13:50:
Met iDeal heb je twee verschillende soorten abonnementen. De light en de pro versie. De mogelijkheden verschillen per abonnement.

Dus om een zinnig antwoord te kunnen geven, moeten we ook weten welk abonnement je hebt.

Heeft ie toch al gezegd?

Intrepidity schreef op woensdag 11 juni 2008 @ 13:09:
edit: overigens gebruik ik de i-kassa van de rabobank als 3e partij wat betreft iDeal

Give a man a game and he'll have fun for a day. Teach a man to make games and he'll never have fun again.

woensdag 11 juni 2008 14:22

Acties:

0 Henk 'm!

Duroth

No rest for the tweaked

Ik heb in het verleden al wat iDeal-betaalmethodes op verschillende websites ingebouwd, en zoals hierboven al is verteld; met een Light-abonnement zal je toch echt een stuk handwerk moeten leveren om ervoor te zorgen dat een registratie inderdaad betaald is.

Je zou overigens ook kunnen kijken of je een referrer-link op je pagina op kan halen; op die manier weet je in ieder geval zeker dat de link niet zomaar ingetikt is in de browser.

Overigens is er een schat aan informatie te vinden op ideal.nl. Heb je die al eens doorgelezen? Er zijn veel handleidingen te vinden, en die site dient dus zeker niet als enorme reclamecampagne.

Onderwerpen