июня 2014 года
- Главная
- Разное
- Дизайн
- Бизнес и предпринимательство
- Аналитика
- Образование
- Развлечения
- Красота и здоровье
- Финансы
- Государство
- Путешествия
- Спорт
- Недвижимость
- Армия
- Графика
- Культурология
- Еда и кулинария
- Лингвистика
- Английский язык
- Астрономия
- Алгебра
- Биология
- География
- Детские презентации
- Информатика
- История
- Литература
- Маркетинг
- Математика
- Медицина
- Менеджмент
- Музыка
- МХК
- Немецкий язык
- ОБЖ
- Обществознание
- Окружающий мир
- Педагогика
- Русский язык
- Технология
- Физика
- Философия
- Химия
- Шаблоны, картинки для презентаций
- Экология
- Экономика
- Юриспруденция
Страх и ненависть в платежных системах (DevConf) презентация
Содержание
- 1. Страх и ненависть в платежных системах (DevConf)
- 2. Обо мне 10 лет в web –
- 3. Что в этом докладе? Опыт Ещё раз опыт И значительная сумма про*****ых денег ☹
- 4. Чего не будет Советов, как сделать пи**то
- 5. И так, платёжные системы Классика WebMoney, PayPal,
- 6. Реальность Платёжки умирают R.I.P Liberty Reserve API платёжек координально отличаются Деньги можно потерять
- 7. Имейте альтернативу Не складывайте все яйца в одну корзину – может получится гигансткий омлет
- 8. А теперь к весёлью
- 9. Приколы с API Отсуствие SSL Отсуствие status
- 10. Приколы с API Подтверждение транзакции методом парсинга
- 11. Приколы с API Когда докуметация ..., ну
- 12. Приколы с API Когда с сервером платёжки
- 13. Оработка нотификаций Унифицированное API Offload обработки в background Демоны ☺
- 14. Защита платёжек У многих платёжек кроме md5
- 15. Защита платёжек – о хорошем SHA1/SHA256 Валидация
- 16. Защита платёжек - отсебятина Кроме стандартных проверок на сумму платежа и валюту
- 17. Защита платёжек - отсебятина Испольуем custom fields
- 18. Защита платёжек - отсебятина Отложенная доставка купленного
- 19. Тайные знания ☺ Только для аудитории :trollface:
- 20. Вопросы по архитектуре? Не тематическая секция ☺ Yii 1.1 MySQL
- 21. Вопросы? @psihius https://www.facebook.com/psihius arvids.godjuks@gmail.com
Слайд 2Обо мне
10 лет в web – PHP, MySQL
Только средние и большие
проекты
Активен в internals mailing list
Огранизатор WebConf Riga 2010 и 2012
2015 в планах ☺
Демоны на PHP ☺
Активен в internals mailing list
Огранизатор WebConf Riga 2010 и 2012
2015 в планах ☺
Демоны на PHP ☺
Слайд 4Чего не будет
Советов, как сделать пи**то
У каждого проекта свои заморочки
Ответа на
вопрос «Где, чёрт возьми, ты работаешь, псих ненормальный?!»
Слайд 5И так, платёжные системы
Классика
WebMoney, PayPal, Moneybookers, etc.
Ваучеры
Ukash, CashU, PaySafeCard, etc.
Криптовалюты
Bitcoin, Litecoin,
etc.
Слайд 6Реальность
Платёжки умирают
R.I.P Liberty Reserve
API платёжек координально отличаются
Деньги можно потерять
Слайд 9Приколы с API
Отсуствие SSL
Отсуствие status url
Подтверждение происходит в виде перенаправления браузера
клиента
Это секюрно, инфа 146%!
Это секюрно, инфа 146%!
Слайд 10Приколы с API
Подтверждение транзакции методом парсинга HTML ответа от сервера платёжки
Пламенный
привет Perfect Money
Слайд 11Приколы с API
Когда докуметация ..., ну вы поняли
Потратил пол дня в
попытках понять, почему не принимает валидный запрос на платёж.
Как оказалось – в поле комментария принимало буквы, цифры, пробел, @ и запятую. В документации ни слова.
Как оказалось – в поле комментария принимало буквы, цифры, пробел, @ и запятую. В документации ни слова.
Слайд 12Приколы с API
Когда с сервером платёжки происходит неведома х....
Привет Liberty Reserve,
R.I.P.
Когда сервер платёжки начинает присылать двойные подтверждения.
Привет Perfect Money
Когда сервер платёжки начинает присылать двойные подтверждения.
Привет Perfect Money
Слайд 14Защита платёжек
У многих платёжек кроме md5 хеша нет никакой дополнительной защиты
Привет
видеокартам, перебирающим 150 млн. хешей в секунд
Бывает что даже нет и этого – пропускаем ☺
Есть платёжки, которые не имеют кастомных полей для мерчантов
Бывает что даже нет и этого – пропускаем ☺
Есть платёжки, которые не имеют кастомных полей для мерчантов
Слайд 15Защита платёжек – о хорошем
SHA1/SHA256
Валидация нотификации через запрос на сервер платёжки
Дополнительные
secret keys
Работа с SSL подписанными запросами
OAuth – привет Yandex.Money
Работа с SSL подписанными запросами
OAuth – привет Yandex.Money
Слайд 17Защита платёжек - отсебятина
Испольуем custom fields
Генерируем свою подпись с данными, которые
есть только внутри системы и валидируем
Проверяем платёж на соответсвие платёжной системе
Whitelisting серверов платёжек по IP
Проверяем платёж на соответсвие платёжной системе
Whitelisting серверов платёжек по IP
Слайд 18Защита платёжек - отсебятина
Отложенная доставка купленного клиентом
Защищает так же от фрауда
Ведение
собственного баланса, если вы делаете выплаты
Но нужно это делать правильно – столкнулся с race condition и вышел double spend
Но нужно это делать правильно – столкнулся с race condition и вышел double spend
