Нужно ли моему приложению использовать SSL на страницах перенаправления и целевых страниц Paypal?

Question

Я хочу добавить функциональность Paypal в мое приложение, но я в некотором роде в неведении относительно некоторых проблем безопасности.

В частности, когда пользователь хочет заплатить, я должен перенаправить его в Paypal, а затем Paypal отправляет мне какой-то токен / ключ, чтобы указать, произошел ли платеж.

Итак, на странице, где я передаю пользователя в Paypal, мне нужен SSL? Почему / почему нет?

А как насчет страницы, где я получаю токен ответа от Paypal?

Возможно ли, например, хакеру придумать какой-нибудь случайный токен и опубликовать его в моем приложении, чтобы сделать вид, что он заплатил?

Если это так, значит ли это, что мне нужно сделать еще один звонок в Paypal после получения токена - чтобы убедиться, что токен настоящий?

Answer 1

поправьте меня, если я ошибаюсь, но я думаю, что без ssl следующие два сценария возможны при использовании атаки "человек посередине":

фишинг:
хакер перенаправляет пользователя на сайт, похожий на PayPal, и получает информацию о своем пользователе PayPal / pw или кредитной карте. эта атака не идеальна, так как фишинговые сайты обнаруживаются и уничтожаются.

угон платежа:
хакер создает собственный реальный токен PayPal (данные заказа, снятые с вашего сайта), но со своей учетной записью PayPal в качестве получателя и перенаправляет клиента на этот адрес. в этом случае политики PayPal может быть достаточно, чтобы сделать эти действия бессмысленными.

Answer 2

Я делал это до того, как использовал drupal e-commerce для продажи загрузок приложений через Paypal, и не использовал SSL ни на перенаправлении, ни на целевой странице.Хотя технически я полагаю, что хакер мог бы перехватить токен кого-то, кто заплатил за приложение, и использовать его, чтобы притвориться, что он заплатил, я не думаю, что это вероятный сценарий, потому что средний преступник больше интересуется номерами кредитных карт, чем разовым бесплатнымдоступ к некоторому товару / услуге.Кроме того, одна из основных причин, по которой вы в первую очередь используете Paypal, заключается в том, что вам не придется уделять столько внимания безопасности, как если бы вам приходилось обрабатывать кредитные карты пользователей самостоятельно, поскольку Paypal позаботится об этом длявы (и их система защищена SSL).