Spezifikation (II)

Heute hab ich dann doch noch eine Spezifikation erhalten, welche die Schnittstelle zu einer Zahlungsform beschreibt. Natürlich wurde versäumt, auf die notwendige Datenkodierung in ISO-8859-1 hinzuweisen und die Beispieldaten erhalten natürlich weiterhin keine Sonderzeichen (damit das Problem auch sicher nicht beim Testen auffällt). Dafür ist jetzt gewünscht, der Anfrage eine IP hinzuzufügen, damit man Betrug aufdecken kann.

Lasst mich mal überlegen, wie dieser Schutz aussehen kann. Ich muss per Parameter angeben, wie meine IP-Adresse ist (ich bin mal gespannt, ob die auch IPv6 berücksichtigen oder nur die aktuelle IPv4 unterstützen – ist natürlich nicht beschrieben!) und diese IP-Adressen werden wahrscheinlich mit der IP-Adresse des anfragenden PCs getestet. Und das in Zeiten, wo das Fälschen von IP-Adressen schon Script-Kiddies langweilen dürfte.

Dann doch lieber dieses Verfahren: Ich kombiniere alle Anfrage-Parameter zu einem String, füge einen private Key hinzu und hashe das ganze mit einem sha1-Algorithmus.

Die Leute scheinen wirklich sehr pfiffige Programmierer zu haben. Mal schauen, wie sie auf diesen Hinweis reagieren (habs natürlich per Mail geschickt).

Ein Gedanke zu „Spezifikation (II)

  1. Es gab heute einen besonderen Grund. Rückschau: Anfang August, wir zogen gerade um und arbeiteten 2 Tage nur mit einem Laptop, trafen 2 Bestellungen ein in 2 unterschiedlichen Shops (Baudax + Werkstattgeraete). Unterschiedliche Namen, gleiche Anschriften, was mir nicht sofort auffiel, weil ich die Lieferungen der Eile wegen gleich ausgelöst gabe. 1 Woche später erneut eine Bestellung, gleiche Anschrift, anderer Name. Alle Bestellungen lagen knapp unter 1.500 €. Ich habe die 3. Bestellung nicht mehr ausgelöst, weil ich die Zahlung abwarten wollte, die natürlich NICHT kam.
    Gestern abend das gleiche Spiel. 1 x Bestellung bei Baudax und 1 x Bestellung Werkstattgeräte, jeweils € 1.500,00. Gleiche Strasse/Hausnummer, aber 2 verschiedene Namen. Beide Bestellungen wurden innerhalb nicht einmal 30 Minuten ausgelöst.
    Hier liegt eindeutige Betrugsabsicht vor, schon durch die unterschiedliche Namensgebung. Nun meint man bei “D”, wenn beide Bestellungen die gleiche IP besitzen, kann das hilfreich sein, um die Betrugsabsicht zu beweisen, wenn Strafanzeige erstattet wird.
    Wenn die Jungs natürlich so clever sind, wie Du schreibst, ist das natürlich für die Katz, aber ich verstehe “D” schon, dass die sich mit allen Möglichkeiten absichern. Aber das Verhalten ist doch sehr durchsichtig. Wir haben übrigens keine Bestellung ausgeliefert, sondern “D” gesagt, sie sollten für die Hausnummer ein “rot” schalten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.