Closed RaminMT closed 2 years ago
درود
یک سوال داشتم، آیا پرباد در برابر باگهای امنیتی که به نوعی هک به حساب میاد ایمن هست یا خیر؟ مثلا double spending یا مغایرت مبلغ پرداختی با مبلغ فاکتور
امنیت اصلا جز مهمترین اهداف این پکیج بوده. مواردی مانند صحیح بودن مبلغ پرداخت شده و یا تشخیص و جلوگیری از استفاده مجدد از تراکنشی که موفق بوده و سایر این موارد همه پیادهسازی شده.
نمونه کد تشخیص تفاوت تراکنشهای جدید از تراکنشهایی که قبلا مصرف شده
ا در ساختار و پیاده سازی قدیمی درگاه در اپلیکیشن، بواسطه وجود TransactionCode در ابتدای امر، میتونستیم double spending رو قبل از Verify انجام بدیم، اما در حال حاضر در خروجی FetchAsync این مقدار وجود ندارد و تا قبل از Verify کردن امکان دسترسی و بررسی ندارد و اگر Verify کنیم امکان عودت از بین میرود
شما این پکیج رو ظاهرا به اندازه کافی بررسی نکردید چون داخل همون متدهای فچ و وریفای، دقیقا این موارد برای شما آورده شده که بتونید تشخیص بدید وضعیت تراکنش فعلی چی هست. متد فچ به شما یک status میده که به شما نشون میده که تراکنش فعلی:
متد وریفای هم به شما یک status میده که نشون میده که تراکنش فعلی:
علاوه بر تمام اینها، شماره پیگیری که توسط شما و یا خود این پکیج در مرحله اول درخواست تولید شده، در تمامی متدهای دیگه مانند فچ و وریفای به شما داده شده تا اگر لزوم به بررسی توسط خود توسعه دهنده باشه، این کار بتونه انجام بشه
لطفا همچنین داکیومنت رو مطالعه کنید چون تمام این سوالها اونجا توضیح داده شده بود برای شما دریافت وضعیت تراکنش
سلام و روز بخیر مجدد ممنون از پاسخ و راهنمایی شما
حقیقتش من هم خودم فکر میکردم که این موارد بررسی شده باشه و خودم هم یه بررسی ای روی سورس انجام دادم و چیزی ندیدم (خیلی دقیق و با وقت و حوصله زیاد بررسی نکردم حقیقتا) و به همین علت بود که از شما سوال کردم لینکی که گذاشتید رو مطمئنم که بیش از 5 بار خوندم، این IsAlreadyVerified در مواقعی که قصد استفاده مجدد از تراکنش رو داریم مقدارش true میشه؟ نهایتا منظورم از شماره پیگیری چیزی هست که توی کد پرباد به عنوان TransactionCode یا توی درگاه های پارسیان و سامان به اسم RRN شناخته میشه بود. و البته قبل از پرسش سوال، تمام داکیومنتها رو خونده بودم، بخش زیادی از FAQ و همچنین issueهای باز و بسته رو هم بررسی کرده بودم باز هم ممنون از شما
مقدار PaymentFetchResultStatus.AlreadyProcessed به شما کمک میکنه که بدونید این تراکنشی که از درگاه بانکی به سمت شما اومده، آیا قبلا اصلا بررسی شده یا خیر. حالا اینکه اون تراکنش موفق بوده یا نبوده یا وریفای شده یا نشده اهمیتی نداره.
همچنین IsAlreadyVerified همونطور که از اسمش پیداست، زمانی فعال میشه که یک تراکنش که از سمت بانک به وب سایت شما اومده، از قبل با موفقیت بررسی و وریفای شده بوده و احتمالا به خاطر به روز رسانی و یا خراب کاری صفحه توسط کاربر، دوباره به وب سایت شما اومده. در این حالت همونطور که در نمونه کدها مشاهده میکنید، مسلما نباید تراکنش دوباره وریفای بشه.
در سیستم بانکی، کد مرجع بانکی فقط پس از عملیات وریفای تولید و تحویل داده میشه. این کد در سیستم پَرباد در مقدار TransactionCode به شما تحویل داده میشه پس از استفاده از متد وریفای.
همونطور که توضیح دادم، پَرباد خودش جلوگیری میکنه از تمام عملیات های خرابکاری مانند استفاده مجدد از تراکنش یا دستکاری مقدار پرداخت شده.
اما خارج از این توضیحات، امکان توسعه این سیستم وجود داره که کد مرجع بانکی و یا به اصطلاح همون TransactionCode در همون متد فچ نیز به کاربر داده بشه. مسلما فقط در صورتیکه این مقدار در پایگاه داده وجود داشته باشه از قبل. این مورد میتونه توسعه داده بشه. اما در حال حاظر من فرصتی برای انجام این کار ندارم. یک تیکت جدید درست میکنم که این مورد به عنوان ویژگی جدید اضافه بشه.
خیلی ممنون و متشکرم از توضیحات کامل و جامع شما
سلام و وقت بخیر امیدوارم که خوب باشید و از شما بابت این کتابخونه عالی تشکر میکنم. یک سوال داشتم، آیا پرباد در برابر باگهای امنیتی که به نوعی هک به حساب میاد ایمن هست یا خیر؟ مثلا double spending یا مغایرت مبلغ پرداختی با مبلغ فاکتور اگر این امکانات تعبیه نشدند، آیا برنامه ای برای اضافه کردن آنها وجود دارد؟ و نهایتا ما جدا از کتابخونه چطور میتونیم اینها رو بررسی کنیم؟ ما در ساختار و پیاده سازی قدیمی درگاه در اپلیکیشن، بواسطه وجود TransactionCode در ابتدای امر، میتونستیم double spending رو قبل از Verify انجام بدیم، اما در حال حاضر در خروجی FetchAsync این مقدار وجود ندارد و تا قبل از Verify کردن امکان دسترسی و بررسی ندارد و اگر Verify کنیم امکان عودت از بین میرود ممنون