Ankündigung

Einklappen
Keine Ankündigung bisher.

php, Geldeinzug, Iban, Sicherheit

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • php, Geldeinzug, Iban, Sicherheit

    Hallo,
    ich bin nun an einem Punkt angelangt, mit dem ich bisher noch nie was zu tun hat, nämlich Geldverkehr.
    Ich bastle gerade an einer Seite, bei der Kunden nach login ihre Kontodaten hinterlegen können. Nur wenn gültige Kontodaten hinterlegt sind, können auch im Laufe eines Monats immer wieder kleine Sachen bestellt werden.
    Und da sind wir bereits bei den ersten zwei Fragen, die mich quälen:
    1. Gerade das Hinterlegen von Kontodaten muss extrem abgesichert sein. Wie speichere ich die Kontodaten also am besten in die DB. Sicher nicht in Klarschrift oder?
    2. Wie prüfe ich vor dem Speichern, ob der IBan überhaupt existiert?

    Nun, im Laufe des Monats werden eben immer kleinste Einkäufe getätigt, bei denen sich eine sofortige Abrechnung nicht auszahlen wird. Es soll also automatisch mit Monatsende die offene Summe vom hinterlegten Bankkonto eingezogen werden.
    also 3. Da hab ich keine Ahnung, wie das zu realisieren ist. Bitte um Tips und Infos.
    LG

  • #2
    2. https://de.wikipedia.org/wiki/IBAN#V...Pr%C3%BCfsumme

    Kommentar


    • #3
      Zitat von majak01 Beitrag anzeigen
      1. Gerade das Hinterlegen von Kontodaten muss extrem abgesichert sein.
      Nö es muss hinreichend/ausreichend abgesichert werden

      Zitat von majak01 Beitrag anzeigen
      Wie speichere ich die Kontodaten also am besten in die DB. Sicher nicht in Klarschrift oder?
      Kanste verschlüsseln. Nachteil mehr overhead. Vorteil bei ausreichend sichererer Verschlüsselnung ist aber das wenn jemand durch irgendein Sicherheitsleck an die DB Daten kommt, das er alleine damit nix anfangen kann.

      Zitat von majak01 Beitrag anzeigen
      2. Wie prüfe ich vor dem Speichern, ob der IBan überhaupt existiert?
      $suchmaschine kennt Antworten

      Zitat von majak01 Beitrag anzeigen
      Nun, im Laufe des Monats werden eben immer kleinste Einkäufe getätigt, bei denen sich eine sofortige Abrechnung nicht auszahlen wird. Es soll also automatisch mit Monatsende die offene Summe vom hinterlegten Bankkonto eingezogen werden. also 3. Da hab ich keine Ahnung, wie das zu realisieren ist.
      Na einfach in der DB merken und am Monatsende zusammenrechnen.

      Kommentar


      • #4
        vielen Dank erstmal für die Antworten.
        Wie würdest du die Kontodaten verschlüsseln, md5, hash?? Oder ganz was anderes?
        Das ich mir alle Summen in der db merke und dann zusammenzähle ist ja klar. Was ich nicht verstehe: Wie kann ich automatisch genau diese Summe von dem Konto abbuchen?

        Kommentar


        • #5
          Zitat von Messier 1001 Beitrag anzeigen
          Kanste verschlüsseln. Nachteil mehr overhead.
          MUSS, bitte.
          Verschlüsselung bei solch kritischen Daten ist kein optionales "Feature", das durch Performance egalisiert werden kann.

          Zitat von majak01 Beitrag anzeigen
          Wie würdest du die Kontodaten verschlüsseln, md5, hash?? Oder ganz was anderes?

          Wie kann ich automatisch genau diese Summe von dem Konto abbuchen?

          Nutz bitte einen Payment Provider (z.B. Sofort-Überweisung oder Braintree). Damit lassen sich viele Zahlungsmöglichkeiten über eine einheitliche API ansteuern.
          "Software is like Sex, it's best if it's free." - Linus Torvalds

          Kommentar


          • #6
            Zitat von majak01 Beitrag anzeigen
            Wie würdest du die Kontodaten verschlüsseln, md5, hash?? Oder ganz was anderes?
            Du solltest Dich mit Verschlüsselungen vs Hash/Prüfsumme auseinandersetzen, bevor Du mit einer eigenen Lösung anfängst!
            Fraglich ist ob Kontodaten wirklich über kritisch sind, fraglich auch, ob es möglich ist als relativer Anfänger eine superbulltprofed Methode zu implementieren.


            JaMa hat mit dem PaymentProvider Tip sicher den Nagel auf den Kopf getroffen.

            Kommentar


            • #7
              Zitat von tomBuilder Beitrag anzeigen
              Fraglich ist ob Kontodaten wirklich über kritisch sind, fraglich auch, ob es möglich ist als relativer Anfänger eine superbulltprofed Methode zu implementieren.
              Kontodaten sind (besondere) Personenbezogene Daten, d.h. diese erfordern einen besonderen Schutzbedarf. Ein Leak kann da durchaus sehr teuer werden.

              "Software is like Sex, it's best if it's free." - Linus Torvalds

              Kommentar


              • #8
                Fraglich ist ob Kontodaten wirklich über kritisch sind, fraglich auch, ob es möglich ist als relativer Anfänger eine superbulltprofed Methode zu implementieren.
                Tja, das frage ich mich auch schon die ganze Zeit.
                Mein Angebot richtet sich sowieso nur an wirklich ausgewählte Firmen. Vielleicht sollte ich die Bezahlung generell anders lösen. hmmm, grübel, grübel

                Kommentar


                • #9
                  Zitat von majak01 Beitrag anzeigen
                  Tja, das frage ich mich auch schon die ganze Zeit.
                  Mein Angebot richtet sich sowieso nur an wirklich ausgewählte Firmen. Vielleicht sollte ich die Bezahlung generell anders lösen. hmmm, grübel, grübel
                  Du könntest auch einfach Bargeld über Post annehmen. Das wäre zu deinem jetzigen Standpunkt das sicherste und zuverlässigste.
                  "Software is like Sex, it's best if it's free." - Linus Torvalds

                  Kommentar


                  • #10
                    also da es sich dabei um ausgesuchte Kunden handelt, werde ich es jetzt einfach so lösen, dass immer zum Monatsende automatisch eine Rechnung erstellt wird, die per email an den Kunden gesendet wird.
                    Das müsste auch funktionieren und ich glaube, dass ich diesen Kunden soweit Vertrauensvorschuss geben kann, dass sie die Rechnung auch bezahlen.

                    Kommentar


                    • #11
                      Zitat von JaMa Beitrag anzeigen

                      Kontodaten sind (besondere) Personenbezogene Daten, d.h. diese erfordern einen besonderen Schutzbedarf. Ein Leak kann da durchaus sehr teuer werden.
                      Ja, deswegen ist ein transparentes verschlüsseltes Speichern notwendig, mehr nicht.

                      Kommentar


                      • #12
                        2. Wie prüfe ich vor dem Speichern, ob der IBan überhaupt existiert?
                        Das geht nur indem du eine Überweisung von dem Konto bekommst, aber auch das ist nicht vor Veränderung geschützt. Je nach Bank geht aber auch ein Lastschrifteinzug zurück, wenn du ihn einfach probierst.
                        [I]You know, my wife sometimes looks at me strangely. „Duncan“, she says, „there's more to life than Solaris“. Frankly, it's like she speaks another language. I mean, the words make sense individually, but put them together and it's complete nonsense.[/I]

                        Kommentar


                        • #13
                          Als Gateaway könnte dir vielleicht Omnipay helfen:

                          http://omnipay.thephpleague.com/gateways/official/

                          Die Kontodaten nicht in einem Datensatz mit den Usern speichern sondern in einer seperaten Tabelle und definitiv hashen so das die Daten auch nicht mehr zurück gerechnet werden können.

                          Kommentar


                          • #14
                            Fehler Nr. 1 bei so einem heiklen Thema: In einem Internetforum fragen nach einer konkreten Implementierung - wäre die Frage gewesen, wie man so von Vornherein angeht, wäre es etwas anderes gewesen. Aber allein über die eigene Implementierung fachsipelm zu wollen, ist schon die falsche Herangehensweise.

                            Was Du außerdem nicht bedacht hast, ist die Übertragung der Bankdaten, die Sicherheit Deiner Applikation - Alles so was. Btw.: Wie soll der Bankeinzug vonstatten gehen? Ich bezweifle, dass Dir auch nur eine Bank so etwas anbietet. Was ist mit Inkasso?

                            Die einzig wirkliche Alternative bei so etwas: Such Dir einen Dienstleister, der das anbietet. Es gibt da einige. Da bist Du auf der sicheren Seite. Alles andere ist einfach ein Himmelfahrtskommando.

                            Kommentar


                            • #15
                              Zitat von chim Beitrag anzeigen
                              Als Gateaway könnte dir vielleicht Omnipay helfen:

                              http://omnipay.thephpleague.com/gateways/official/

                              Die Kontodaten nicht in einem Datensatz mit den Usern speichern sondern in einer seperaten Tabelle und definitiv hashen so das die Daten auch nicht mehr zurück gerechnet werden können.
                              Was bringen Dir gehashte Kontodaten ?

                              bei omnipay finde ich nichts zum speichern:
                              The CreditCard object can be initialized with untrusted user input via the constructor. Any fields passed to the constructor which are not recognized will be ignored.

                              Kommentar

                              Lädt...
                              X