Ga naar inhoud


Foto

Paypal Tls 1.2 En Html 1.1 Beveiligingsupgrades


  • Please log in to reply
8 replies to this topic

#1 SuperFrank

SuperFrank
  • Members
  • 81 Posts:
  • Naam: Frank van Dijk

Posted 08 May 2017 - 01:18

Ik heb een (zwaar gemodificeerde) installatie van osC 2.2 MS2 (060817) draaien. Hierin maak ik gebruik van de daarin ingebouwde standaard Paypal betalingsmodule.

 

Ik neem aan dat jullie weten dat PayPal na 30 juni 2017 alleen nog maar TLS 1.2 / HTML 1.1 verbindingen ondersteunt. Paypal geeft aan dat er upgrades benodigd zijn om te zorgen dat dingen na 30 juni blijven werken.

 

Nu heb ik gekeken bij de Paypal instellingen in de osC webshop, bij de accountinstellingen bij PayPal zelf en ook in de code van de osC PayPal betaalmodule, maar ik heb niets kunnen vinden wat daarmee te maken zou kunnen hebben.

 

Op dit Nederlandstalige forum heb ik niets over dit alles kunnen vinden. Op het Engelstalige forum heb ik wel vaag iets kunnen vinden wat ermee te maken zou kunnen hebben (zie http://forums.oscomm...paypal-modules/ vanaf post #5), maar lijkt alleen betrekking te hebben op PayPal add-ons (Standard, Express, Pro, IPN, etc.). Maar ik gebruik dus juist de simpele standaard ingebouwde PayPal module.

 

Ook heb ik een add-on gevonden die hierover iets rept ( http://addons.oscommerce.com/info/9184 ), maar het is mij onduidelijk of ik daarmee iets moet of kan, ook weer omdat het bij mij gaat om de standaard ingebouwde module.

 

Het is mij allemaal een beetje onduidelijk. Mijn vraag is dus: moet ik (voor de standaard ingebouwde PayPal module) überhaupt iets aanpassen in code, instellingen of wellicht op de server? En zo ja, wat, hoe en waar?


Edited by SuperFrank, 08 May 2017 - 01:19.


#2 Fiber

Fiber
  • Members
  • 3,490 Posts:
  • Gender:Male
  • Naam: Fiber

Posted 08 May 2017 - 03:48

Ik heb een (zwaar gemodificeerde) installatie van osC 2.2 MS2 (060817) draaien


Zo dat is aardig antiek, kan er verder weinig over zeggen omdat de codes toch wel aardig zijn veranderd tov
060817, advies ga je verdiepen als je dat nog niet gedaan hebt naar de 2.3.4 BS

#3 SuperFrank

SuperFrank
  • Members
  • 81 Posts:
  • Naam: Frank van Dijk

Posted 08 May 2017 - 05:07

Zo dat is aardig antiek, kan er verder weinig over zeggen omdat de codes toch wel aardig zijn veranderd tov
060817, advies ga je verdiepen als je dat nog niet gedaan hebt naar de 2.3.4 BS

Ja, inderdaad antiek... Natuurlijk heb ik (al vaker trouwens) gedacht aan een wat minder stoffige versie, maar dat dan al weer snel aan de kant geschoven, vanwege het "zwaar gemodificeerde". Want met "zwaar" bedoel ik echt zwaar.

 

Ik hoop dus op een osC2.2MS2-veteraan die het antwoord heeft, of tenminste een belletje kan laten rinkelen. Of anders een hint die wellicht alleen opgaat voor de nieuwere osC-versies, maar me toch ook in de goede richting stuurt. Want dit is natuurlijk iets waar veel anderen ook mee te maken zullen hebben.



#4 Fiber

Fiber
  • Members
  • 3,490 Posts:
  • Gender:Male
  • Naam: Fiber

Posted 09 May 2017 - 09:02

Dat het uberhaupt nog draait eigenlijk, ik zou toch beginnen aan de nieuwe versie, erg veel voordelen.

Stel je vraag op de .com site en kijk wat voor reacties je daar krijgt.

#5 Job

Job
  • Members
  • 6,404 Posts:
  • Location:Tilburg
  • Naam: Joop Ongenae

Posted 18 May 2017 - 10:04

Als ik het goed begrijp, is met name van belang of de server waarop je shop draait, voldoet aan de eisen. Dit kun je blijkbaar testen met de nieuwe paypal-module (http://addons.oscommerce.com/info/9184)

 

Zal die eens proberen.



#6 Job

Job
  • Members
  • 6,404 Posts:
  • Location:Tilburg
  • Naam: Joop Ongenae

Posted 18 May 2017 - 10:24

Heb net in een testshop de nieuwste module geïnstalleerd en de test voor tls en SSL gedaan. Op de betreffende server waren alle uitslagen goed. Mocht dat bij jou niet zo zijn: vraag je hoster de nodige aanpassingen te doen, en anders te verhuizen.

 

Advies aan Frank: bouw je shop om naar een bootstrap-versie van osCommerce. Daar hoef je niet voor opnieuw te beginnen. Je kunt de bestaande database gewoon blijven gebruiken (paar updates nodig, maar daar is een simpel script voor). Voor de rest is het niet meer dan je oude bestanden omzetten naar de nieuwe bootstrap-bestanden. Is veel werk, maar zo kun je zorgen dat je al je contributies kunt behouden. Ik heb dit proces al een keer of 6 gedaan.



#7 SuperFrank

SuperFrank
  • Members
  • 81 Posts:
  • Naam: Frank van Dijk

Posted 03 June 2017 - 10:17

Over die PayPal App add-on, ik begrijp dat die gemaakt is voor Online Merchant v2.3 en (dus) niet voor 2.2MS2 (?) Bovendien is het een add-on om allerlei paypal modules toe te voegen. Dat lijkt me voor mij dus de verkeerde weg - of zie ik dat allemaal verkeerd? Maar misschien bedoel je alleen maar dat het een manier is om de server configuratie te controleren (zie de toevoeging in v5.010 - "Add new general App parameter to test and use the default server configured SSL version when performing API requests to PayPals servers or force TLS v1.2 connections."). In dat geval, zie hieronder.

 

Verder heb ik zelf ook nog weer even flink gegraven. Veel is vaag en/of tegenstrijdig, maar deze lijkt me de lading prima te dekken: https://www.paypal-k...iewlocale=en_US

 

Die even puntsgewijs aflopend:

 

1. TLS 1.2 and HTTP/1.1 Upgrade

Dit is dus waar de server configuratie aan moet voldoen - en wat jij dus hebt gecheckt met de PayPal App add-on (?)

Ik heb dit voor mijn server (op een andere manier) gecheckt - en deze voldoet.

 

Maar er zijn dus nog meer dingen:

 

2. IPN Verification Postback to HTTPS

Ik heb me nooit echt verdiept in PayPal en hoe dat precies werkt in osC, Maar hieruit begrijp ik dat ALS je de IPN feature gebruikt dat je dat dus voortaan alleen kunt doen over HTTPS (en niet meer over HTTP) - met de nadruk op "als". Maar ik maak gebruik van de standaard paypal module van 2.2MS2 - geen enkele addon of modificatie. En ik denk dat die dus niet gebruik maakt van IPN en dat er dus ook geen HTTPS verbinding nodig is.

Klopt dat?

 

3. Discontinue Use of GET Method for Classic NVP/SOAP APIs

Dit gaat me dus echt even boven de pet. Er is maar één plek waar ik een URL naar paypal tegenkom, en dat is in

catalog/includes/modules/payment/paypal.php op regel 32:

$this->form_action_url = 'https://secure.paypal.com/cgi-bin/webscr';

Maar geen idee of dit na including uiteindelijk een GET of POST wordt. En eignelijk ook niet of dit valt onder "Classic NVP/SOAP APIs".

Mijn vraag hierover is dus:

- Wordt dit een GET? Zo ja, moet dat dan (dus) aangepast worden, of niet? Zo ja, hoe en waar?

- Zijn er nog meer plekken waar er uberhaupt een GET of POST naar paypal wordt gemaakt?

Daarbij dan nogmaals: in de standaard ongewijzigde paypal module van 2.2MS2.

 

4. Merchant API Certificate Credentials Upgrade

Volgens mij maak ik met de standaard PayPal module van 2.2MS2 geen gebruik van API certificaat credentials. Dat is namelijk alleen als ik gebruik maak van Express Checkout. Hiervoor hoef ik dus ook niets aan te passen.

Klopt dat?

 

Over het ombouwen naar een bootstrap-versie van osCommerce. Ik weet eigenlijk niet wat een "bootstrap versie" is. Maar ik vrees dat je onderschat wat ik allemaal met de originele source heb uitgespookt. Ik denk dat zo ongeveer niets meer is zoals het was - met uitzondering van die paypal.php dan misschien ;-)

In de database zijn tables en columns toegevoegd, velden aangepast, etc. etc., noem maar op. Iets soortgelijks geldt voor allerlei bestanden. Niet alleen maar een flink aantal contributies, maar die ook weer aangepast, afgeleides daarvan, of gewoon eigen werk 'from scratch' voor allerlei toegevoegde functies en cosmetica. De boel is echt binnenstebuiten gekeerd en door elkaar gerammeld. Ik denk echt dat ik niet te lui ben om veel werk te doen, maar dat dit gewoon niet de weg is...


Edited by SuperFrank, 03 June 2017 - 10:17.


#8 SuperFrank

SuperFrank
  • Members
  • 81 Posts:
  • Naam: Frank van Dijk

Posted 07 June 2017 - 07:58

Ik heb inmiddels wat info gekregen van Harald Ponce de Leon. Hierbij de antwoorden op mijn eigen vragen, deels ook bruikbaar voor hen die wat moderner materiaal gebruiken:

 

2. IPN Verification Postback to HTTPS

HPdL: The legacy "paypal.php" payment module does not use IPN. This first started with "paypal_standard.php".

HTTPS is alleen nodig bij IPN. Dat is bij mij (2.2MS2 met paypal.php) niet het geval. Er zijn hiervoor dus geen correcties nodig in de code.

Aanvullend: Voor wie wel IPN gebruikt, daarvoor is dus wel degelijk een https-verbinding noodzakelijk.

 

3. Discontinue Use of GET Method for Classic NVP/SOAP APIs

HPdL: That legacy module also uses POST to send the order information to PayPal.

De ouderwetse paypal module (en ook de nieuwere) gebruiken de POST methode. Inderdaad dus niet nodig om code aan te passen.

Ook nieuwere modules gebruiken allemaal POST. Geen zorgen dus.

 

4. Merchant API Certificate Credentials Upgrade

HPdL: Our PayPal modules have never used the Merchant API Certificate Credentials so nothing needs to be changed here either. The newer modules use the Merchant API Signature Credentials, nothing needs to be adapted here either.

Spreekt voor zich. Mijn uitspraak klopte dus niet helemaal, er worden gewoon nooit certificaat credentials gebruikt, ook niet bij "Express Checkout". Er valt dus ook niets te vervangen.



#9 Job

Job
  • Members
  • 6,404 Posts:
  • Location:Tilburg
  • Naam: Joop Ongenae

Posted 14 June 2017 - 06:46

 

Over het ombouwen naar een bootstrap-versie van osCommerce. Ik weet eigenlijk niet wat een "bootstrap versie" is. Maar ik vrees dat je onderschat wat ik allemaal met de originele source heb uitgespookt. Ik denk dat zo ongeveer niets meer is zoals het was - met uitzondering van die paypal.php dan misschien ;-)

In de database zijn tables en columns toegevoegd, velden aangepast, etc. etc., noem maar op. Iets soortgelijks geldt voor allerlei bestanden. Niet alleen maar een flink aantal contributies, maar die ook weer aangepast, afgeleides daarvan, of gewoon eigen werk 'from scratch' voor allerlei toegevoegde functies en cosmetica. De boel is echt binnenstebuiten gekeerd en door elkaar gerammeld. Ik denk echt dat ik niet te lui ben om veel werk te doen, maar dat dit gewoon niet de weg is...

 

Met de bootstrap-versie zorg je er voor dat je website responsive wordt, dwz dat ie geschikt wordt voor alle beeldschermen, dus ook voor telefoons. Bijkomend voordeel is meteen de upgrade naar meer recente technieken (geschikt voor PHP5.6) Met een oudere osC-versie ga je onherroepelijk een keer vastlopen. Zoals gezegd, is het een hoop werk de boel om te bouwen als je al veel gewijzigd hebt ooit, maar niet onmogelijk. Veel puzzelwerk, maar het kan, met behoud van je huidige database.