[SimonP]

Packar ni och levererar ordrar innan ni fått Transaction Report via mail ifrån Samport?

Tänkte varna dom som gör detta eftersom jag hittat ett säkerhetshål i OsCommerce/Samport modul, möjligt att det finns i andra webshopsystem också.

[Kihlbom]

Berätta gärna mer.

[Jocke]

Ja.. vad är det för hål?

[SimonP]

Jag måste få det bekräftat först, om Samport tycker att det lika allvarligt som jag tycker så måste dom få en chans att fixa det och maila ut informationen till sina kunder.
Återkommer imorgon.

Det handlar om att kunna lägga kreditkortsbeställningar som ser ok ut, fast dom egentligen inte är det.

[wiggin]

Det är dessvärre inget problem med just Samports modul utan helt enkelt hur oscommerce hanterar sina betalmoduler. Hyfsat säker på att de flesta moduler fungerar på liknande sätt.

Det handlar helt enkelt om att man hoppar över betalsteget och skriver in adressen direkt till checkout_process.php (eventuellt skickar med en korrekt querystring).

[Taras]

Hålet med att du kommer till checkout_confirmation och sedan skriver in adressen checkout_process.php?R=00

Order bekräftas då och godkänns då systemet tror att betalningen har gått igenom.

Som du säger, kollar man av transaktionslistan så upptäcker du felet/bedrägeriförsöket (eller vad man ska kalla det).

Nej, alla betalmoduler har inte detta problem.

I checkout_process anropas en funktion after_process() precis innan order godkänns och registreras i systemet. Den anropas efter kunden har kommit tillbaka från den externa sidan( eller skrivit in adressen manuellt). Den kan med fördel användas för att kontrollera att betalningen har gått igenom.

Flera betalmoduler (bl.a. Kreditors) använder denna funktion för att lägga till transaktionsnummer, auktoriseringskoden, fakturanr, tidsstämpel etc. till ordern, och detta visas när du tar fram ordern i admin-panelen.

Och snart använder förmodligen även Samport's modul denna funktion

[Jake.Nu]

Samport har funktionen om pengarna skall dras direkt eller bara bokas och jag tycker det känns som en bra grej att trycka igenom köpet hos Samport i samma stund som man skickar paketet. Då ser man också om köpet är på riktigt.

+

Samport skickar även med "APPROVED - 090909090" där man har ett transaktionsnummer tillsammans med "00".
Detta nummer tycker jag en seriös modul skall spara tillsammans med orderinfo + ev. ordermail som går till butiken.. Finns inte infon så finns kanske inte ordern heller.

[klein]

Vi funderade på att gå över till samport, men deras support sucker duktigt eller rättare sagt att dom har ingen support alls. Nu har dom samma kostnadsnivå som dibs, så nu är det inte motiverat heller.