Sistema de venta y cobro online (problemas de seguridad)

florlangosta · #1 (**permalink**) 10/05/2009, 16:02

Hola
Les cuento mi duda...
Tengo un sitio web donde vendo un ebook.

Los pago los acepto con tarjeta de credito por medio de la empresa DineroMail. (similar a Paypal pero en latinoamerica)

En el sitio de esta empresa, uno ingresa los datos del producto que vende (mi ebook) y el sistema solo le crea un codigo que se debe insertar como BOTON en el sitio web donde se vende el producto digital (en este casi mi sitio donde vendo el ebook)
El usuario al clikear este boton, lo lleva a la pagina de DineroMail con los datos de mi producto para procesar el pago con tarjeta. Luego, una vez aceptado el pago, lo redirige a una pagina de mi sitio para que se pueda descargar el ebook.

El problema es que ahora veo el codigo HTML de este boton en mi sitio, y observo que ahi figura la pagina a donde debe redirigirse una vez terminado el pago. Esa pagina es la de descarga del ebook.
Pero, si uno esta en la pagina de la carta de ventas de mi sitio en donde figura ese boton, y va a las opciones del navegado y seleccion "Ver codigo fuente...", se daria cuenta a que pagina se redirige para la descarga, una vez finalizado el pago. Entonces, podrian hacer Copy/Paste y saltear el sistema de pago y descargar directamente el ebook sin pagar.

Esto es un problema gravisimo de seguridad.
Hay alguna manerda de poder mejorar esto???
gracias.

#2 (**permalink**) 10/05/2009, 18:31

he visto este problema en varios sitios y nadie ha sabido responder con algo concreto... parece que clickbank tiene alguna solución, pues fuciona así, pero no creo que la estén compartiendo

otra cosa sería poner passwords al ebook metido dentro de un zip... o algo así...

también se me ocurre (sólo como idea):

- que envíes a la persona a una dirección provisional x (con eso evitas que conozcan la dirección real de descarga)
- que desde esa dirección x envíes a la persona (de forma automática) a la dirección de descarga (con el típico aviso de por favor,, espero está siendo redireccionado a la dirección de descarga, si no haga clic aquí)
- que en la dirección de descarga, un script compruebe de donde viene el visitante: si viene de la dirección x anterior, le permites el acceso, si viene de otra web le impides el acceso (o lo envías a otra dirección, donde por ejemplo haces promoción de tu libro)

no creo que un sistema de este tipo sea muy complicado de generar, he visto javascripts que detectan de dónde viene el visitante...

si consigues implementar algo avísame porque yo estoy a vueltas con lo mismo...

florlangosta · #3 (**permalink**) 10/05/2009, 19:39

Cita:

Iniciado por ramonjosegn

he visto este problema en varios sitios y nadie ha sabido responder con algo concreto... parece que clickbank tiene alguna solución, pues fuciona así, pero no creo que la estén compartiendo

otra cosa sería poner passwords al ebook metido dentro de un zip... o algo así...

también se me ocurre (sólo como idea):

- que envíes a la persona a una dirección provisional x (con eso evitas que conozcan la dirección real de descarga)
- que desde esa dirección x envíes a la persona (de forma automática) a la dirección de descarga (con el típico aviso de por favor,, espero está siendo redireccionado a la dirección de descarga, si no haga clic aquí)
- que en la dirección de descarga, un script compruebe de donde viene el visitante: si viene de la dirección x anterior, le permites el acceso, si viene de otra web le impides el acceso (o lo envías a otra dirección, donde por ejemplo haces promoción de tu libro)

no creo que un sistema de este tipo sea muy complicado de generar, he visto javascripts que detectan de dónde viene el visitante...

si consigues implementar algo avísame porque yo estoy a vueltas con lo mismo...

Ramon
Esto es algo muy raro, no comprendo como lo han resuelto.

Esta bien lo que dices, pero eso soluciona parte del problema.
De hecho, es lo que yo he realizado en mi sitio.
Eso que dices soluciona el problema de que algun usuario descubra el URL directo de descarga y lo tipee directamente en su navegador.
Eso ya lo he solucionado, de una forma similar a la que dices, pero en PHP y no en Javascript (basicamente es lo mismo)
Lo que hice es poner como link de descarga un archivo PHP con un nombre larguisimo del tipo dfjsadgsda6df4df5sdf.php, ese archivo crea una variable de sesion y luego te redirecciona a otro PHP que si es el de descarga, pero si este ultimo php comprueba que la variable de sesion anterior no existe, te redirecciona a una pagina de error.
Esto soluciona que el usuario pueda compratir con otros el link de descarga final, ya que el link de descarga intermendio pasa muy rapido por el navegador y no se llega a ver.

Pero lo que no soluciona es que en la pagina donde esta el boton PAGAR, si miras el codigo HTML ya descubres el link a la pagina de descarga intermedia. (la del nombre largo)
Y por lo tanto si copias ese link y lo pegas en al navegador, el proceso seria igual de valido como si vinieras del sistema de pago.

Y eso no se como solucionarlo.
No entiendo como esta gente de DineroMail genera el codigo insertando el link de descarga en tu web, yo creo q deberian guardar ellos tu link y cuando se procesa el pago, redireccionarte automaticamente. Y no insertarlo en tu web.

No se que hacer........este error es muy grave, no comprendo como no lo han solucionado aun.

#4 (**permalink**) 10/05/2009, 20:13

Lo cierto es que esos links se generan para agradecimientos (gracias por su compra, y cosas por el estilo) y no para la descarga en sí, generalmente, a excepción de los pagos por clickbank y ahora que recuerdo también Paypal (puede que ellos también tengan alguna solución), que sí te envían a la web de descargas (imagino que ocultando el link)

De todas formas, con respecto a que alguien comparta el link, después de pagar, no sería muy inteligente, yo acabo de comprar un ebook, y al precio que ha salido por la subida del dólar no voy a compartir el link con nadie, si alguien quiere hacerlo casi es mejor que comparta el ebook directamente y lo mande por mail no?

Por lo general lo que hacen los ciberautores es enviar el libro al email, una vez confirmado el pago (que también se debe enviar por el comprador por mail), esto es una vuelta larga y te hará perder clientes, pero elimina el problema del link

También tienes alternativas como click2sell o plimus, pero con la desventaja de los precios que manejan y de que son plataformas en inglés

Por otro lado se me ocurre que puedes comprobar de dónde viene el visitante antes de pasar a la web intermedia, es decir, comprobar que el navegante realmente viene de Dineromail (eso también se puede hacer en javascript así que supongo que en PHP también), y sino es así no redirigirlo

es decir:

dineromail
> el visitante viene de dineromail?
> si / no
si sí > a la web intermedia
si no> a otra web

webintermedia
> el visitante ha pasado por dineromail?
>si sí >a la web de descargas
>si no> a otra parte

web de descarga
> el visitante ha pasado por dineromail y posteriormente por la web intermedia?
> si sí, se inicia la descarga
>si no, se envía a otra web (web para promocionar el ebook por ejemplo)

yo no soy programador, así que no puedo proporcionate códigos, pero no creo que sea muy complejo un desarrollo donde sea tan simple como comprobar un par de variables que se concatenen (dineromail+webintermedia) y dónde en la web de descargas se compruebe si el visitante procede de la web intermedia (hay códigos javascript que lo hacen, así que en PHP debe ser también factible, presupungo)

florlangosta · #5 (**permalink**) 10/05/2009, 21:01

Si Ramon, lo que decis es cierto.
Es correcto en el sentido logico de programacion.

Evitar que los visitante compratan el ultimo link de descarga, ya lo solucione como te dije. A ese pagina le puse q si no viene del PHP anterior (el intermedio), lo redireccione hacia una pagina de error. Solucionado.

Pero tengo un problema justamente con esa pagina intermedia.
En la pagina intermedia no se como comprobar si el visitante viene desde DineroMail, ya que no se desde que URL exacta lo envia DineroMail hacia mi web.
Para eso deberia autocomprarme el e-book y comprobarlo. JAJAJAJAJA!

Entonces si el visitante antes de ir a DineroMail, mira el codigo HTML del formulario de ventas, ahi ya figura la URL intermedia que hice yo. Entonces , copia y pega y listo. Lo descarga ya que la pagina final de descargar reconoce que viene desde la pagina intermedia, pero no puede saber q no pasó por DineroMail.

bueno.....que problema
seguire investigando en foros

gracias

#6 (**permalink**) 11/05/2009, 08:03

Otra cosa que he visto que hacen muchos sitios es cambiar el link de descarga de forma periódica (supongo que lo puedes asociar a una variable que haga referencia al mes, por ejemplo)

florlangosta · #7 (**permalink**) 11/05/2009, 09:34

Cita:

Iniciado por ramonjosegn

Otra cosa que he visto que hacen muchos sitios es cambiar el link de descarga de forma periódica (supongo que lo puedes asociar a una variable que haga referencia al mes, por ejemplo)

el link de descarga intermedio, es decir, al que va directo desde DineroMail, no lo puedo cambiar periodicamente de forma automatica ya que tengo q cambiar la configuracion en el codigo de dineromail.

igualmente esto no solucionaria el problema ya que por mas que cambie el link, ese mismo link ya esta insertado en la pagina del boton PAGAR. Por mas q lo cambie, el visitante lo puede ver igual.

Y si cambio el nombre de la pagina final de descarga,es lo mismo, porke al saber el link intermedio, ya ingresan por ese y lo redireccionan automaticamente.

Ya le envie un mail a DineroMail explicandole este tema, a ver que me responden.

davidhiren · #8 (**permalink**) 12/05/2009, 04:17

Pregunta si tienen generador de botones encriptados. Yo para mi tienda utilizo los botones de HooPay encriptados y nadie sabe que es lo que hay.

De todas formas deberías hacer un código de descarga en la página de agradecimientos que sea random, es decir:

Código PHP:

  www.tusitio.com/jklgKHGLKGHLkhgkjszhgdfJHGKJSHGFASDFHJGHgkljglhg/ebook.pdf

Y cuando pague otra persona salga otro y así sucesivamente.

Creo que no necesitas saber de donde vienen (pagina de dineromail), mas bien debes saber si realmente te pagaron.
Una función de: Si me pagan la página está accesible, si no la página redirecciona a...

Saludos

florlangosta · #9 (**permalink**) 12/05/2009, 21:45

Cita:

Iniciado por davidhiren

Pregunta si tienen generador de botones encriptados. Yo para mi tienda utilizo los botones de HooPay encriptados y nadie sabe que es lo que hay.

De todas formas deberías hacer un código de descarga en la página de agradecimientos que sea random, es decir:

Código PHP:

  www.tusitio.com/jklgKHGLKGHLkhgkjszhgdfJHGKJSHGFASDFHJGHgkljglhg/ebook.pdf

Y cuando pague otra persona salga otro y así sucesivamente.

Creo que no necesitas saber de donde vienen (pagina de dineromail), mas bien debes saber si realmente te pagaron.
Una función de: Si me pagan la página está accesible, si no la página redirecciona a...

Saludos

ok voy a averiguar lo de los botones encriptados.

sabes como se hace ese link random en php??
tengo ademas que mover el PDF a esa carpeta cada vez q alguien lo descarga??

geotinic · #10 (**permalink**) 14/05/2009, 13:49

Hola, creo que te refieres a esto:

scriptarchive punto com/rand_link.html

Hay tienes un script que te genera links

florlangosta · #11 (**permalink**) 16/05/2009, 16:43

Cita:

Iniciado por geotinic

Hola, creo que te refieres a esto:

scriptarchive punto com/rand_link.html

Hay tienes un script que te genera links

mmm no lo llego a comprender
igual el problema basico no es el script, sino que la gente puede ver el link final de descarga, en el codigo HTML