WebMoney-кофейня
Топик в форуме: Меняюсь. Нужны ePayments USD и Capitalist RUBТопик в форуме: Продам Магазин цифровых товаров RUSSIANWMSHOP v3.0
Поставить музыку в Кофейне:
Renato Rascel - Arrivederci Roma
Страницы: (3) [1] 2 3  ( Перейти к первому непрочитанному сообщению ) ОтветитьНовая тема

> XML-интерфейсы WebMoney. Часть 1. WMSigner.
oWebMoney
Post #1 (Отправлено: 31.07.2007 13:22)     Быстрое цитирование
Цитировать


Робот
****

Сообщений: 270
Регистрация: 3.04.2006
У интернет-бизнесменов часто возникает необходимость автоматизировать различные операции со своими WebMoney-кошельками. Например, автоматически отправлять покупателю сообщение по внутренней WM-почте, делать выплаты по партнерской программе или выплачивать выигрыши в онлайн-играх, запрашивать баланс своих кошельков, проверять правильность введенного пользователем WM-идентификатора и т.д. Для этих целей служат специальные XML-интерфейсы WebMoney. В данной статье мы проведем подготовительную работу перед использованием этих интерфейсов, скомпилировав и настроив на сервере модуль аутентификации WMSigner.

XML-интерфейсы WebMoney. Часть 1. WMSigner.


Написать приватное сообщениеНаписать по email
Expert
Post #2 (Отправлено: 31.07.2007 20:50)     Быстрое цитирование
Цитировать


Магистр кофейных наук
******

Сообщений: 715
Регистрация: 11.08.2006
Откуда: Москва
Участник WM-Клуба # 211
Очень хороший материал, как эксперт wink.gif, могу поставить оценку "ОТЛИЧНО".

Хотел бы уточнить вот что...
// ФУНКЦИЯ ФОРМИРОВАНИЯ ПОДПИСИ
Вариантов функций формирования подписи очень много (довольно большое количество приведено в соответствующем разделе этого форума), каждая "заточена" под определённые возможности хостинга, поэтому, возможно, стоит привести ещё несколько вариантов.

Кстати, я даже где-то приводил пример скрипта, который сам определяет какая функция подходит для конкретного случая.

Всё это искать тут: http://owebmoney.ru/cafe/index.php?showforum=13

Это сообщение отредактировал Expert - 31.07.2007 20:50


==================
С уважением, Семидьянов Сергей
Администратор WMX.RU
Написать приватное сообщениеВебсайтICQ
Olga_Kl
Post #3 (Отправлено: 1.08.2007 07:02)     Быстрое цитирование
Цитировать


Магистр кофейных наук
******

Сообщений: 792
Регистрация: 2.01.2006
Откуда: Москва
Участник WM-Клуба # 155
Плз, поясните: для использования этих интерфейсов я должна загонять на сервер файл ключей, пароль от кипера и т.п?
(Сейчас у нас все платежи проводятся вручную, на сервере ничего особо секретного нет)


==================
Написать приватное сообщениеНаписать по emailВебсайтICQ
F-117
Post #4 (Отправлено: 1.08.2007 07:35)     Быстрое цитирование
Цитировать


Кофейный профи
*****

Сообщений: 315
Регистрация: 19.12.2006
Откуда: Израиль
Участник WM-Клуба # 243
Olga_Kl сказал
Плз, поясните: для использования этих интерфейсов я должна загонять на сервер файл ключей, пароль от кипера и т.п?
(Сейчас у нас все платежи проводятся вручную, на сервере ничего особо секретного нет)

Имхо да ключ+кипер+непробиваемый сервер biggrin.gif


==================
Написать приватное сообщениеНаписать по emailВебсайтICQ
Olga_Kl
Post #5 (Отправлено: 1.08.2007 07:56)     Быстрое цитирование
Цитировать


Магистр кофейных наук
******

Сообщений: 792
Регистрация: 2.01.2006
Откуда: Москва
Участник WM-Клуба # 155
Спасибо. Игра явно не стоит свеч.


==================
Написать приватное сообщениеНаписать по emailВебсайтICQ
Expert
Post #6 (Отправлено: 1.08.2007 08:24)     Быстрое цитирование
Цитировать


Магистр кофейных наук
******

Сообщений: 715
Регистрация: 11.08.2006
Откуда: Москва
Участник WM-Клуба # 211
Спасибо. Игра явно не стоит свеч.

Вы зря так думаете.
Ведь все он-лайн сервисы работают именно так (или почти так).
Тут, на решение о том: "Быть или не быть", - влияет добропорядочность хостинг-провайдера.
А если есть свой сервер, так и вообще беспокоится не о чем (если, конечно, не размещать его в какой-нибудь шараге, в которой он будет стоять один smile.gif ).

Конечно, всё зависит от того, сколько у Вас транзакций в день. Если 2-100, то, безусловно, их лучше делать руками.

Это сообщение отредактировал Expert - 1.08.2007 08:26


==================
С уважением, Семидьянов Сергей
Администратор WMX.RU
Написать приватное сообщениеВебсайтICQ
wmtprofi
Post #7 (Отправлено: 1.08.2007 15:18)     Быстрое цитирование
Цитировать


Завсегдатай кофейни
**

Сообщений: 23
Регистрация: 6.07.2005
нет вот ключи от кипера с деньгами нельзя вообще на вебсервере держать
для функционала любого связанного с переводом средств надо использовать механизмы работы по доверию
на сервере держать просто пустые ключи у которых есть доверие с лимитами на переводы и .т.п.


Написать приватное сообщениеНаписать по email
Yuriy Apostol
Post #8 (Отправлено: 1.08.2007 17:17)     Быстрое цитирование
Цитировать


Магистр кофейных наук
******

Сообщений: 616
Регистрация: 14.06.2006
Ольга, с новой версией WMSigner ключи и пароль можно держать в закодированном виде, и раскодировать только для проведения транзакций. Можно ключи (или часть ключа) держать на другом сервере.


Написать приватное сообщение
Olga_Kl
Post #9 (Отправлено: 1.08.2007 19:42)     Быстрое цитирование
Цитировать


Магистр кофейных наук
******

Сообщений: 792
Регистрация: 2.01.2006
Откуда: Москва
Участник WM-Клуба # 155
Yuriy Apostol, я понимаю необходимость этого для автообменок, но с нашей спецификой автообмен невозможен, с ним мы сразу в трубу вылетим. А делать нечто весьма рискованное ради архитектурного излишества... Если нас сейчас кто-нибудь взломает (тьфу-тьфу!), самое большее, что сможет получить - это клиентскую базу и несколько десятков паролей, в основном на порнуху. А держать на сервере доступ на кипер - это нужен совсем другой уровень безопасности, чем у нас сейчас.


==================
Написать приватное сообщениеНаписать по emailВебсайтICQ
Yuriy Apostol
Post #10 (Отправлено: 1.08.2007 22:28)     Быстрое цитирование
Цитировать


Магистр кофейных наук
******

Сообщений: 616
Регистрация: 14.06.2006
Я просто ответил на вопрос. Не нужны интерфейсы, так не ставьте. wink.gif


Написать приватное сообщение
WMoney.in.ua
Post #11 (Отправлено: 4.08.2007 22:19)     Быстрое цитирование
Цитировать


Ценитель кофе
***

Сообщений: 89
Регистрация: 24.12.2006
Откуда: Днепропетровск
Olga_Kl сказал
Yuriy Apostol, я понимаю необходимость этого для автообменок, но с нашей спецификой автообмен невозможен, с ним мы сразу в трубу вылетим. А делать нечто весьма рискованное ради архитектурного излишества... Если нас сейчас кто-нибудь взломает (тьфу-тьфу!), самое большее, что сможет получить - это клиентскую базу и несколько десятков паролей, в основном на порнуху. А держать на сервере доступ на кипер - это нужен совсем другой уровень безопасности, чем у нас сейчас.

Оригинально сказано про пароли на порнуху smile.gif


==================
Написать приватное сообщениеНаписать по emailВебсайтICQ
vganaba
Post #12 (Отправлено: 4.08.2007 22:55)     Быстрое цитирование
Цитировать


Завсегдатай кофейни
**

Сообщений: 28
Регистрация: 30.07.2007
На самом деле не вижу ничего страшного, чтоб хранить ключи на сервере. Все страшные сказки о небезопасности такого варианта сказки и есть. Когда ключи живут на обычном PC, шанс лишиться своих денег значительно выше.

99.99% всех угнанных ключей ушли благодаря персональному раздолбайству их владельца. На сервере раздолбайствовать некому. Десктопный Windows по защищенности не конкурент Unix/Linux с правильной конфигурацией. Остался только один спорный нюанс... Тяга к халяве со стороны обменных пунктов.

За пиццот американских рублей написали мегаобменный суперпункт на ультрадырявом PHP, воткнули это все под Apache и поехали работать, а потом крики-вопли-караул, нас обокрали. Конечно обокрали, это вообще как бы неудивительно даже. Серьезный секьюрные разработки стоят несколько дороже, на PHP не пишутся и на Apache не живут. Зато потом, положив 3-4k в кубышку разработчиков, можно спокойно, без паранои, работать.

Так что ключи на сервере - это лучше, чем вне сервера. ИМХО.

P.S. История про PHP, Apache, вопли - не выдуманная, имело место, долго объяснял что скупой и тупой платят дважды.


Написать приватное сообщениеНаписать по email
alexss
Post #13 (Отправлено: 4.08.2007 23:52)     Быстрое цитирование
Цитировать


Ценитель кофе
***

Сообщений: 84
Регистрация: 29.05.2006
Серьезный секьюрные разработки стоят несколько дороже, на PHP не пишутся и на Apache не живут.

Конечно уходя от основной темы, но все-таки интересно, если про стоимость вроде как понятно, то каковы Ваши аргументы против PHP+Apache? И второй вопрос, что в таком случае Вы считаете более безопасным, ASP (c IIS), JSP или еще что-то, и почему?


==================
TelePay.com.ua - интернет-магазин кодов пополнения
Написать приватное сообщениеНаписать по emailВебсайтICQ
vganaba
Post #14 (Отправлено: 5.08.2007 00:24)     Быстрое цитирование
Цитировать


Завсегдатай кофейни
**

Сообщений: 28
Регистрация: 30.07.2007
Alexss, да дырявый Apache, как сито, а PHP язык дешевых киосков. Ни один проект, требовавший правильного подхода к безопасности небыл, нет и не будет написан на PHP. Я не специалист в сетевой безопасности, но девелоперы с которыми работаю, а я работаю с хорошими девелоперами, подымают меня на ржач всякий раз, когда я упоминаю в лексиконе эту аббревиатуру.

Как сказал один хороший камрад, который в вопросе не дурак, что на PHP можно что-то хорошее безопасное написать. Можно. Только геморроя с этим будет столько, что проще написать три проекта на чем-то более удобном для решения подобных задач. Мы остановились на JSP под Tomcat.


Написать приватное сообщениеНаписать по email
alexss
Post #15 (Отправлено: 5.08.2007 01:00)     Быстрое цитирование
Цитировать


Ценитель кофе
***

Сообщений: 84
Регистрация: 29.05.2006
да дырявый Apache, как сито
Мы остановились на JSP под Tomcat.
Один и тот же разработчик и при этом один "дырявый", другой нет? wink.gif
Аргументов я не увидел, но Ваше личное мнение понятно. Что лучше, что хуже - это вечный спор, и начинать его здесь, я думаю, не стоит smile.gif

Возвращаясь же к основной теме, я тоже не вижу ничего страшного в хранении ключей кипера на сервере, при правильном и безопасном подходе к работе разумеется. Тем более специально для этого, как правило заводится дополнительный WMID, который распологает не всеми вашими средствами сразу, а только необходимыми суммами.

Это сообщение отредактировал alexss - 5.08.2007 01:02


==================
TelePay.com.ua - интернет-магазин кодов пополнения
Написать приватное сообщениеНаписать по emailВебсайтICQ
vganaba
Post #16 (Отправлено: 5.08.2007 01:09)     Быстрое цитирование
Цитировать


Завсегдатай кофейни
**

Сообщений: 28
Регистрация: 30.07.2007
Один и тот же разработчик и при этом один "дырявый", другой нет?


Разработчик один и тот же, но Apache это, вроде бы как, web server, а Tomcat - application server. Соответственно, совершенно разные концепции.

И, в дополнение к хранению ключей на сервере... Насколько я помню, если перевод был отправлен с протекцией, срок протекции вышел, а код небыл введен, то перевод возвращается обратно без снятия комиссии за перевод средств. Поэтому деньги лучше хранить в полуподвешенном состоянии, в состоянии перевода с протекцией smile.gif Чтоб их достать, нужно угнать не один, а два WM ID.


Написать приватное сообщениеНаписать по email
Expert
Post #17 (Отправлено: 5.08.2007 01:16)     Быстрое цитирование
Цитировать


Магистр кофейных наук
******

Сообщений: 715
Регистрация: 11.08.2006
Откуда: Москва
Участник WM-Клуба # 211
Alexss, да дырявый Apache, как сито, а PHP язык дешевых киосков.

Ужасное высказывание! Меня просто возмутило. (Как минимум)
Я PHP программист (уже с не плохим стажем) и таких заявлений не видел никогда.
За свою карьеру программиста написал тонну приложений на PHP.
Маленьких и больших...Не тратя на это огромную тучу времени...
Пока не слышал об их взломах, и пр.
Т.е. более 1000 PHP приложений спокойно работают не хуже ASP и т.п. (и я абсолютно ничего не имею против других языков, каждый хорош по своему).
Но подобные высказывания мог позволить себе только (и как минимум!!!):
не специалист в сетевой безопасности


Это сообщение отредактировал Expert - 5.08.2007 01:19


==================
С уважением, Семидьянов Сергей
Администратор WMX.RU
Написать приватное сообщениеВебсайтICQ
vganaba
Post #18 (Отправлено: 5.08.2007 01:46)     Быстрое цитирование
Цитировать


Завсегдатай кофейни
**

Сообщений: 28
Регистрация: 30.07.2007
Expert, я понимаю Ваш гнев и приношу извинения за слишком резкий слог, но это цитата от людей, которые уже забыли PHP. И я склонен доверять им деньги, и свои, и людей которые вкладывают и будут вкладывать деньги в мои проекты, так как ими написаны приложения стоимостью не в тысячи, не десятки тысяч, а миллионы долларов.

Касаемо приложений на PHP и попыток их взлома. Покажите пожалуйста примеры приложений, писанных на заказ финансовых организаций: банков, кредитных товариществ, etc; написанных на PHP и сертифицированных. То есть приложений, которые 100% будут пробовать ломать и результатом взлома будет profit в виде отнюдь не fun'а, а денежных знаков. А я, в свою очередь, приведу Вам невероятное количество примеров, аналогичных вещичек, написанных на других языках программирования и/или под другую платформу.

У меня нет теоретической базы, чтоб спорить с Вами в технической плоскости, но почему все эти продукты, которые я могу привести в пример, написаны не на популярном языке PHP, а на ASP, ASP.NET, C#, Python'e, Perl'e, JSP и т.д.? Ведь PHP мало того что популярен, так и разработка б куда дешевле обошлась, и работает он шустро. Почему так?


Написать приватное сообщениеНаписать по email
Niksen
Post #19 (Отправлено: 5.08.2007 01:53)     Быстрое цитирование
Цитировать


Главный кофейщик
*******

Сообщений: 1593
Регистрация: 7.01.2005
Откуда: Киев
Участник WM-Клуба # 1
vganaba, один мой знакомый убеждал меня: "ничего не может быть хуже корейской кухни". Правда, он ее никогда не пробовал, но где-то по телеящику слышал, что убиенные собаки могут быть заразными. Потом все же сходил. И мнение тут же поменял. Теперь корейские рестораны посещает регулярно.
Я это не к тому, хорошо PHP или плохо. Я это к тому, что для того чтобы говорить "Опель говно" нужно поездить самому, убедиться, что действительно говно и привести аргументы.

2all
Что касается ключей на сервере - нет в этом ничего страшного, конечно. Кроме FTP. Вот он-то уж точно дырявый. Так что юзайте FTP только по SSL - и будет вам счастье.


==================
Написать приватное сообщениеНаписать по emailВебсайт
Niksen
Post #20 (Отправлено: 5.08.2007 02:08)     Быстрое цитирование
Цитировать


Главный кофейщик
*******

Сообщений: 1593
Регистрация: 7.01.2005
Откуда: Киев
Участник WM-Клуба # 1
Вообще на тему противоборства PHP, Java и .Net много гигабайт диалогов написано и много ведер слюней выплевано. Вот кстати Андрессен мнения ваших разработчиков не разделяет: Netscape founder says PHP beats Java
Но! Вполне понятно, что для одних целей больше подойдет PHP, для других JSP, для третьих еще что-то. Асфальт катают катком, землю роют бульдозером, девок снимают на 6-ке Жигули.
А дырявость конечного продукта - это беда не языка/платформы, а всегда кривизна рук разработчика. Хоть на PHP он программирует, хоть на Джаве, хоть на перфокартах.


==================
Написать приватное сообщениеНаписать по emailВебсайт
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:

Опции этого топикаСтраницы: (3) [1] 2 3  ОтветитьНовая тема

 





Powered by Invision Power Board © 2003 IPS, Inc.