Страх и ненависть в платежных системах Годюк Арвид (Arvīds Godjuks) a.k.a. @psihius 14 июня 2014 года. - презентация

1 Страх и ненависть в платежных системах Годюк Арвид (Arvīds Godjuks) 14 июня 2014 года

2 Обо мне 10 лет в web – PHP, MySQL Только средние и большие проекты Активен в internals mailing list Огранизатор WebConf Riga 2010 и в планах Демоны на PHP

3 Что в этом докладе? Опыт Ещё раз опыт И значительная сумма про*****ых денег

4 Чего не будет Советов, как сделать пи**то У каждого проекта свои заморочки Ответа на вопрос «Где, чёрт возьми, ты работаешь, псих ненормальный?!»

5 И так, платёжные системы Классика WebMoney, PayPal, Moneybookers, etc. Ваучеры Ukash, CashU, PaySafeCard, etc. Криптовалюты Bitcoin, Litecoin, etc.

6 Реальность Платёжки умирают R.I.P Liberty Reserve API платёжек координально отличаются Деньги можно потерять

7 Имейте альтернативу Не складывайте все яйца в одну корзину – может получится гигансткий омлет

8 А теперь к весёлью

9 Приколы с API Отсуствие SSL Отсуствие status url Подтверждение происходит в виде перенаправления браузера клиента Это секюрно, инфа 146%!

10 Приколы с API Подтверждение транзакции методом парсинга HTML ответа от сервера платёжки Пламенный привет Perfect Money

11 Приколы с API Когда докуметация..., ну вы поняли Потратил пол дня в попытках понять, почему не принимает валидный запрос на платёж. Как оказалось – в поле комментария принимало буквы, цифры, и запятую. В документации ни слова.

12 Приколы с API Когда с сервером платёжки происходит неведома х.... Привет Liberty Reserve, R.I.P. Когда сервер платёжки начинает присылать двойные подтверждения. Привет Perfect Money

13 Оработка нотификаций Унифицированное API Offload обработки в background Демоны

14 Защита платёжек У многих платёжек кроме md5 хеша нет никакой дополнительной защиты Привет видеокартам, перебирающим 150 млн. хешей в секунд Бывает что даже нет и этого – пропускаем Есть платёжки, которые не имеют кастомных полей для мерчантов

15 Защита платёжек – о хорошем SHA1/SHA256 Валидация нотификации через запрос на сервер платёжки Дополнительные secret keys Работа с SSL подписанными запросами OAuth – привет Yandex.Money

16 Защита платёжек - отсебятина Кроме стандартных проверок на сумму платежа и валюту

17 Защита платёжек - отсебятина Испольуем custom fields Генерируем свою подпись с данными, которые есть только внутри системы и валидируем Проверяем платёж на соответсвие платёжной системе Whitelisting серверов платёжек по IP

18 Защита платёжек - отсебятина Отложенная доставка купленного клиентом Защищает так же от фрауда Ведение собственного баланса, если вы делаете выплаты Но нужно это делать правильно – столкнулся с race condition и вышел double spend

19 Тайные знания Только для аудитории :trollface:

20 Вопросы по архитектуре? Не тематическая секция Yii 1.1 MySQL

21