Ajax ile provizyon

boraceb · 28.05.2007

Merhaba

ajax ile provizyon çekmek istiyorum fakat güvenlik konusunda endişelerim var. Göndermek istediğim ilgili veriyi ajax nesnesinde post ile işlenecek(https) sayfaya gönderdiğimizde yinede güvenlik sorunu ortaya çıkarmı? Bununla ilgili örnek bir script varmı?

Yada alternatif olarak varolan sayfanın değerlerini koruyarak provizyon alabileceğim başka bir metot önerebilirmisiniz.

Teşekkür ederim.

arsende · 28.05.2007

Alıntı:

boraceb tarafından gönderilen mesaj:

Merhaba

ajax ile provizyon çekmek istiyorum fakat güvenlik konusunda endişelerim var. Göndermek istediğim ilgili veriyi ajax nesnesinde post ile işlenecek(https) sayfaya gönderdiğimizde yinede güvenlik sorunu ortaya çıkarmı? Bununla ilgili örnek bir script varmı?

Yada alternatif olarak varolan sayfanın değerlerini koruyarak provizyon alabileceğim başka bir metot önerebilirmisiniz.

Teşekkür ederim.

ajax client side (istemci taraflı) çalışır serverde yüklü SSL nasıl şifrelesin, giden ve gelen veriye tarayıcı üzerinden müdahele edilir. üstelik tehlikeli!

Normal bir form post edeceksiniz XML bir veriyimi? hangi programla dili kullanıyorsunuz.

hayvanAdam · 28.05.2007

Pardon, client side tamam da veriyi gönderme işlemini client side olarak yapıyor veriyi işlemiyor.

Aynı site üzerinde https protokolü üzerinden çalıştırırısan güvelik açığı olmaz.

Düşündüğün güvensizlik normal post eden forumun güvensizliği ile aynı.

ikisinde de veriyi işleyen bir sunucu programı mevcut, https ise sever'a client'tan gelen verinin şifreli olarak gelmesini sağlar.

Anlayacağın verinin client tan post edilene kadar zaten bir güvenliği yok...

arsende · 28.05.2007

Alıntı:

hayvanAdam tarafından gönderilen mesaj:

Pardon, client side tamam da veriyi gönderme işlemini client side olarak yapıyor veriyi işlemiyor.

Aynı site üzerinde https protokolü üzerinden çalıştırırısan güvelik açığı olmaz.

Düşündüğün güvensizlik normal post eden forumun güvensizliği ile aynı.

ikisinde de veriyi işleyen bir sunucu programı mevcut, https ise sever'a client'tan gelen verinin şifreli olarak gelmesini sağlar.

Anlayacağın verinin client tan post edilene kadar zaten bir güvenliği yok...

Provizyon (!)
Bir banka provizyonu varsayalım;

Normal şekilde client sitedeki ASP, PHP dosyasına veriyi gönderir (buraya kadar güvenik yok) burdan sonra bankaya https protokolü ile veri gönderilir site > site. Fakat ajax client side veriyi doğrudan bankaya gönderecektir user > site. site üzerinden değil! yanlış mı düşünüyorum! çünkü provizyon olduğunu söylemiş bir başka sunucuya bağlanacak yüksek ihtimal provizyon onayı için.

Kendi sitesi üzerinde bir bir dosyaya veri gönderir ordan bir cevap beklerse sorun olmaz ama ajax fonksiyonun bir cevabı var bura dışardan müdahale edilebilir diye düşünüyorum..

xedition · 29.05.2007

Direk olarak clienti bankaya yönlendirmek istersen client kredi kartı bilgilerini girer ve bankaya post eder. Banka senin bilgilerini de isteyeceği için kendi bilgilerini de client e göndermen gerekir. Daha önce Online pos kullanmadım ama kendi bilgilerin ne derece önem taşıyorsa o derecede güvenlik açığı oluşturur.

Ancak normal olanı clienti bankaya değil kendi sitene yönlendirmen bilgiyi aldıktan sonra bankayla senin iletişim kurman şeklinde olmalıdır. Bu şekilde yine ajax kullanabilirsin.

hayvanAdam · 29.05.2007

Öncelikle bankaya direk veri post ediyorsan zaten senin sitenden değil client tan gider.

Ve sadece kredi kartı değil sanal pos bilgilerinide yollaman gerekir ki bunuda client e yüklemiş olrsan saçmalık olur.

sanalPos.PHP gibi bir script yazarsın userdan gelen veriyi düzenler bankanın işleyeciği şekle getirir.

ajax ile de veriyi buna gönderir işlem sonucunu alırsın.

-------

hatta gaza geldim bi örnek yaparım haftasonu sanal pos kullanamadan aynı işlevi yapan bişi güvenlik testini yaparsınız.

arsende · 29.05.2007

Bakalım @hayvanAdam (hakaret eder gibi odu

) @boraceb ne tür provizyondan söz edecek banka has has bir örnek..

boraceb · 30.05.2007

Merhaba arkadaşlar

Önce cevap veren herkese teşekkür ederim. Aşağıda olayı netleştirebilmek için basit bir kod yazıyorum bana yazdığım kodla ilgili olarak bu kod sakat yada bu kod sağlıklı mı söyleyebilirmisiniz? Çünkü mantık olarak bana hala normal görünüyor. sebebi ise evet kredi kartı bilgileri client tarafta alınıyor ama post edildiği yer https alan. nitekim @hayvanadam da benzer bişeyden bahsetti.

Eğer bu yöntemle halledebilirsem hayatım çok kolaylaşacak...

Saygılar

Kod:

	var request = creat_Object()

	function call_server(URL,param){

		request.open('POST',URL,true);
		request.onreadystatechange = function(){
			
			if(request.readyState == 1){
				document.getElementById('out').innerHTML = 'Yükleniyor...';
			}
		
			if(request.readyState == 4){
				var answer = request.responseText;
				document.getElementById('out').innerHTML = answer;
			}
			
		}
		request.setRequestHeader('Content-type', 'application/x-www-form-urlencoded');
		request.setRequestHeader('Content-length', param.length);
		request.send(param);
	}
	
      function parametre(URL){
	
		var gstr = 'ad='+encodeURI(document.getElementById("ad").value)
			gstr +='&soyad='+encodeURI(document.getElementById("soyad").value)
			gstr +='&email='+encodeURI(document.getElementById("email").value)
			
			call_server(URL,gstr)
	}

Kod:

<form id="form1" name="form1" method="post" action="">
	<table width="250" border="0" align="center" cellpadding="3" cellspacing="3">
		<tr>
			<td width="97">Adı</td>
			<td width="10">:</td>
			<td width="143">
				<input name="ad" type="text" id="ad" />
			</td>
		</tr>
		<tr>
			<td>Soyadı</td>
			<td>:</td>
			<td><input name="soyad" type="text" id="soyad" />	</td>
		</tr>
		<tr>
			<td>Email</td>
			<td>:</td>
			<td><input name="email" type="text" id="email" /></td>
		</tr>
		<tr>
			<td>&nbsp;</td>
			<td>&nbsp;</td>
			<td><label>
				<input type="button" name="Submit" onclick="parametre('https://www.falancafilanca.com/ajax_form_isle.ASP')" value="Submit" />
			</label></td>
		</tr>
	</table>
</form>

xedition · 30.05.2007

https://www.falancafilanca.com/ajax_form_isle.asp

Bu adres senin sitenin adresi sanırım. Eğer öyleyse client tarafa bilgi göndermezsin zaten sadece bilgileri alırsın yani herhangi bir güvenlik açığı söz konusu olmaz.

arsende · 30.05.2007

Bu form sitendeki ajax_form_isle.ASP gittiği için güvenlik sorunu yaratmaz.. https//xxx server olsaydı olurdu... çünkü sitenizin ssl'i hiçbir işe yaramazdı..

Siz ajax_form_isle.ASP gönderdiğiniz veri provizyon işini yaptığı için sorun yok..

28.05.2007	#1 (permalink)
boraceb Üyelik Tarihi: 12.09.2001 Yer: istanbul Yaş: 27 Mesaj: 38	Ajax ile provizyon Merhaba ajax ile provizyon çekmek istiyorum fakat güvenlik konusunda endişelerim var. Göndermek istediğim ilgili veriyi ajax nesnesinde post ile işlenecek(https) sayfaya gönderdiğimizde yinede güvenlik sorunu ortaya çıkarmı? Bununla ilgili örnek bir script varmı? Yada alternatif olarak varolan sayfanın değerlerini koruyarak provizyon alabileceğim başka bir metot önerebilirmisiniz. Teşekkür ederim.

28.05.2007	#3 (permalink)
hayvanAdam Üyelik Tarihi: 17.05.2007 Yer: ISTANBUL Yaş: 28 Mesaj: 92	Re: Ajax ile provizyon Pardon, client side tamam da veriyi gönderme işlemini client side olarak yapıyor veriyi işlemiyor. Aynı site üzerinde https protokolü üzerinden çalıştırırısan güvelik açığı olmaz. Düşündüğün güvensizlik normal post eden forumun güvensizliği ile aynı. ikisinde de veriyi işleyen bir sunucu programı mevcut, https ise sever'a client'tan gelen verinin şifreli olarak gelmesini sağlar. Anlayacağın verinin client tan post edilene kadar zaten bir güvenliği yok... __________________ flv player :: Kırkpınar :: Köpek Öldüren Sahanda yumurtanın yağdan en öksüz köşesiyim ben, zemine yapışmakta kararlı ve bütünden tamamen aykırı...

29.05.2007	#5 (permalink)
xedition Üyelik Tarihi: 13.03.2007 Yer: Sakarya Mesaj: 24	Re: Ajax ile provizyon Direk olarak clienti bankaya yönlendirmek istersen client kredi kartı bilgilerini girer ve bankaya post eder. Banka senin bilgilerini de isteyeceği için kendi bilgilerini de client e göndermen gerekir. Daha önce Online pos kullanmadım ama kendi bilgilerin ne derece önem taşıyorsa o derecede güvenlik açığı oluşturur. Ancak normal olanı clienti bankaya değil kendi sitene yönlendirmen bilgiyi aldıktan sonra bankayla senin iletişim kurman şeklinde olmalıdır. Bu şekilde yine ajax kullanabilirsin. __________________ plustr.com

29.05.2007	#6 (permalink)
hayvanAdam Üyelik Tarihi: 17.05.2007 Yer: ISTANBUL Yaş: 28 Mesaj: 92	Re: Ajax ile provizyon Öncelikle bankaya direk veri post ediyorsan zaten senin sitenden değil client tan gider. Ve sadece kredi kartı değil sanal pos bilgilerinide yollaman gerekir ki bunuda client e yüklemiş olrsan saçmalık olur. sanalPos.PHP gibi bir script yazarsın userdan gelen veriyi düzenler bankanın işleyeciği şekle getirir. ajax ile de veriyi buna gönderir işlem sonucunu alırsın. ------- hatta gaza geldim bi örnek yaparım haftasonu sanal pos kullanamadan aynı işlevi yapan bişi güvenlik testini yaparsınız. __________________ flv player :: Kırkpınar :: Köpek Öldüren Sahanda yumurtanın yağdan en öksüz köşesiyim ben, zemine yapışmakta kararlı ve bütünden tamamen aykırı...

29.05.2007	#7 (permalink)
arsende Üyelik Tarihi: 05.11.2005 Yer: Istanbul Yaş: 28 Mesaj: 486	Re: Ajax ile provizyon Bakalım @hayvanAdam (hakaret eder gibi odu ) @boraceb ne tür provizyondan söz edecek banka has has bir örnek..

30.05.2007	#9 (permalink)
xedition Üyelik Tarihi: 13.03.2007 Yer: Sakarya Mesaj: 24	Re: Ajax ile provizyon https://www.falancafilanca.com/ajax_form_isle.asp Bu adres senin sitenin adresi sanırım. Eğer öyleyse client tarafa bilgi göndermezsin zaten sadece bilgileri alırsın yani herhangi bir güvenlik açığı söz konusu olmaz. __________________ plustr.com

30.05.2007	#10 (permalink)
arsende Üyelik Tarihi: 05.11.2005 Yer: Istanbul Yaş: 28 Mesaj: 486	Re: Ajax ile provizyon Bu form sitendeki ajax_form_isle.ASP gittiği için güvenlik sorunu yaratmaz.. https//xxx server olsaydı olurdu... çünkü sitenizin ssl'i hiçbir işe yaramazdı.. Siz ajax_form_isle.ASP gönderdiğiniz veri provizyon işini yaptığı için sorun yok..