Paypal - aggiornamenti alla sicurezza

Luca Miletta

Nuovo Utente
11 Dic 2015
3
0
0
Ciao a tutti, ho bisogno di un vostro aiuto/chiarimento su una mail inviata da Paypal riguardo agli aggiornamenti sulla sicurezza, ci sono diversi punti che fanno riferimento alla url per l'ipn che dovrà essere su protocollo HTTPS:

"A partire da questa data, gli endpoint API Sandbox supporteranno solo il nuovo standard (HTTP/1.1, TLS 1.2 e i certificati SHA-256). Ciò significa che www.sandbox.paypal.com accetterà solo HTTPS per i postback IPN."

Se ho capito bene, non ci sono modifiche da fare al codice php ma bisogna adeguare tutti i siti che utilizzano l'ipn di paypal su protocollo HTTPS, corretto? Avete ricevuto anche voi questa email?

Qui in basso vi riporto il codice che uso in php per i messaggi IPN ricevuti da paypal (questo dovrebbe rimanere invariato):

$raw_post_data = file_get_contents('php://input');


$this->dump = var_export($raw_post_data, true);
$raw_post_array = explode('&', $raw_post_data);
$myPost = array();
foreach ($raw_post_array as $keyval) {
$keyval = explode('=', $keyval);
if (count($keyval) == 2)
$myPost[$keyval[0]] = urldecode($keyval[1]);
}


$req = 'cmd=_notify-validate';
if (function_exists('get_magic_quotes_gpc')) {
$get_magic_quotes_exists = true;
}
foreach ($myPost as $key => $value) {
if ($get_magic_quotes_exists == true && get_magic_quotes_gpc() == 1) {
$value = urlencode(stripslashes($value));
} else {
$value = urlencode($value);
//$value = urlencode(html_entity_decode($value, ENT_QUOTES, 'UTF-8'));
}
$req .= "&$key=$value";
}
try {
$ch = curl_init(PAYPAL_URL);
curl_setopt($ch, CURLOPT_POST, true);
curl_setopt($ch, CURLOPT_POSTFIELDS, $req);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);


// Se c'è un proxy nel file di configurazione
if (PROXY_CURL != "") {
curl_setopt($ch, CURLOPT_HTTPPROXYTUNNEL, 1);
curl_setopt($ch, CURLOPT_PROXY, PROXY_CURL);
}


curl_setopt($ch, CURLOPT_HEADER, false);
curl_setopt($ch, CURLOPT_TIMEOUT, 180);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);


if (!($res = curl_exec($ch))) {
$this->sendLog("Errore " . curl_error($ch) . " nella chiamata IPN a paypal");
curl_close($ch);
exit;
}
curl_close($ch);
} catch (Exception $ex) {
// NOTIFICO ERRORE
}


if (strcmp($res, "VERIFIED") == 0) {
$item_name = $_POST['item_name'];
$item_number = $_POST['item_number'];
$payment_status = $_POST['payment_status'];
$payment_amount = $_POST['mc_gross'];
$payment_currency = $_POST['mc_currency'];
$txn_id = $_POST['txn_id'];
$receiver_email = $_POST['receiver_email'];
$payer_email = $_POST['payer_email'];
$CUSTOM = $_POST['custom'];
$this->SaveOrder($IDORDINE, $payment_amount);
} else if (strcmp($res, "INVALID") == 0) {
$this->sendLog("INVALID");
}

Grazie in anticipo a chi si interessa al thread.
Ciao,
Luca
 

filomeni

Moderatore
Membro dello Staff
MOD
14 Mag 2006
1.052
6
38
49
Roseto degli Abruzzi (TE)
www.sitiweb.cloud
Ciao, il link del tipo www.sandbox.paypal.com fa riferimento alla piattaforma developer e non al link vero e proprio per la transazione.
Comunque io uso il sistema pay pal e di questa mail non ne ho avute e il mio "tradizionale sistema" funziona correttamente.
Ciao
 

Luca Miletta

Nuovo Utente
11 Dic 2015
3
0
0
Ciao, il link del tipo www.sandbox.paypal.com fa riferimento alla piattaforma developer e non al link vero e proprio per la transazione.
Comunque io uso il sistema pay pal e di questa mail non ne ho avute e il mio "tradizionale sistema" funziona correttamente.
Ciao
Ciao, grazie per la risposta.
Ho inserito l'indirizzo sandbox e non quello di produzione perchè nella mail ci sono delle scadenze(non riportate qui) ad indicare che la piattaforma di test (sandbox appunto) che sarà la prima ad essere aggiornata, si parla di febbraio, a settembre le stesse modifiche saranno implementate sull'indirizzo paypal di produzione.

Anche i miei siti adesso funzionano, ma non vorrei trovarmi a rincorrere paypal quando ci sarà questo aggiornamento.
Attendiamo altri amici/colleghi sperando che qualcuno possa darci una mano.

Grazie.

Ciao,
Luca
 

filomeni

Moderatore
Membro dello Staff
MOD
14 Mag 2006
1.052
6
38
49
Roseto degli Abruzzi (TE)
www.sitiweb.cloud
Ma la mail che ti è arrivata che intestazione ha?
Postala, io non ho mai ricevuto una comunicazione del genere... Vorrei fare una ricerca.
Grazie
 

Luca Miletta

Nuovo Utente
11 Dic 2015
3
0
0
Ma la mail che ti è arrivata che intestazione ha?
Postala, io non ho mai ricevuto una comunicazione del genere... Vorrei fare una ricerca.
Grazie
Questa è la mail inviata da paypal (scusa se è formattata male ma ho fatto solo copia incolla del testo):



XXXXX XXXXXXX,
ci auguriamo che tutto proceda al meglio in queste settimane impegnative, sia per te che per i tuoi commercianti. Desideriamo informarti di alcuni aggiornamenti sulla sicurezza previsti da PayPal per il 2016, dei motivi di tali aggiornamenti e di quali cambiamenti aspettano te e i tuoi commercianti.
Perché sono necessari gli aggiornamenti sulla sicurezza?
L'ente responsabile degli standard di protezione dei dati (PCI) ha recentemente apportato alcune modifiche a tali standard. La sicurezza dei dati interessa milioni di aziende che gestiscono i dati di carte di credito e pagamenti elettronici oppure che forniscono servizi ad aziende che lo prevedono a loro volta. L'ente responsabile della protezione dati sta incoraggiando i fornitori di servizi di pagamento come PayPal a ritirare le versioni dello standard denominato Transport Layer Security (TLS) precedenti alla versione 1.2. Lo standard di sicurezza TLS e il suo predecessore Secure Sockets Layer (SSL) sono codici crittografati che proteggono le comunicazioni in una rete di computer.
Tali modifiche non implicano che i nostri sistemi non siano attualmente sicuri. La sicurezza è una delle nostre priorità: monitoriamo ogni transazione 24 ore su 24 per prevenire le frodi e i furti di identità. L'obbiettivo di queste modifiche è contribuire a proteggere le aziende da vulnerabilità future. PayPal tiene in grande considerazione le segnalazioni dell'ente PCI e abbiamo anche identificato ulteriori modifiche sulla sicurezza da ottimizzare il prossimo anno.
Quali modifiche verranno apportate e quando?
Di seguito sono riportate le modifiche tecniche e i relativi aggiornamenti da implementare al tuo sistema. Vista la natura tecnica delle modifiche, ti consigliamo di chiedere assistenza al tuo amministratore di sistema/programmatore web interno o al tuo fornitore di servizi di web hosting.

Oggi Gli endpoint Sandbox e tlstest.paypal.com sono live.
I nuovi indirizzi SFTP IP sono live.
Sandbox invia Certificati di credenziali API con il nuovo standard (a 2048 bit, SHA-256).
14 gennaio 2016 A partire da questa data, gli endpoint API Sandbox supporteranno solo il nuovo standard (HTTP/1.1, TLS 1.2 e i certificati SHA-256). Ciò significa che www.sandbox.paypal.com accetterà solo HTTPS per i postback IPN.
31 gennaio 2016 Production inizia a inviare Certificati di credenziali API con il nuovo standard (a 2048 bit, SHA-256).
29 febbraio 2016 Gli endpoint Sandbox verranno rimossi.
17 marzo 2016 I nuovi indirizzi IP SFTP verranno aggiunti a DNS per reports.paypal.com.

14 aprile 2016 I vecchi indirizzi IP SFTP verranno rimossi da DNS per reports.paypal.com.

12 maggio 2016 Il vecchio indirizzo IP SFTP smetterà di funzionare.
17 giugno 2016 A partire da questa data, gli endpoint API di produzione inizieranno a utilizzare il nuovo standard (HTTP/1.1, TLS 1.2 e certificati SHA-256)
30 settembre 2016 I postback IPN trasmessi all'indirizzo www.paypal.com utilizzeranno solo HTTPS

1 gennaio 2018 Tutte le credenziali di certificati API dovranno essere aggiornate al nuovo standard.
Per comprendere e implementare queste modifiche di natura tecnica, puoi consultare il programma Standard di sicurezza nel 2016, dove troverai informazioni dettagliate, tra cui le date di implementazione previste* e le best practice sulla sicurezza.
Cosa devo fare?
Visto che c'è ancora tempo prima che queste modifiche entrino in vigore, ecco cosa puoi fare per ora. Se non utilizzi un carrello o partner ospitato, tieni presente che dovrai fare quanto segue per prepararti a queste modifiche:
1. integra queste operazioni nei tuoi programmi di aggiornamento tecnico del 2016;
2. per verificare se sei già compatibile con questi aggiornamenti di sicurezza, prova la tua configurazione in ambiente Sandbox PayPal.
Come posso sapere se sono già compatibile con questi aggiornamenti di sicurezza?
Puoi testare il tuo sistema subito. Abbiamo creato nuovi endpoint Sandbox temporanei configurati con gli standard di sicurezza più recenti. Consulta il programma "Standard di sicurezza nel 2016" di PayPal e troverai facili istruzioni su come testare gli endpoint in ambiente Sandbox oggi stesso.
Se non sei sicuro di quali aggiornamenti richiede il tuo sistema, ti scriveremo di nuovo a gennaio con dettagli più specifici su quello che queste modifiche significano per il tuo sistema. Nel frattempo, ti invitiamo a prendere visione del programma "Standard di sicurezza nel 2016". Per eventuali domande, clicca "Contattaci su paypal.it.
Grazie della collaborazione e per avere scelto PayPal.
*Le date degli aggiornamenti previsti riportati nella presente email e nel programma "Standard di sicurezza nel 2016" di PayPal sono soggetti a modifiche. Ti informeremo in caso di eventuali cambiamenti.
 

filomeni

Moderatore
Membro dello Staff
MOD
14 Mag 2006
1.052
6
38
49
Roseto degli Abruzzi (TE)
www.sitiweb.cloud
Ciao, Ti confermo che non ho mai ricevuto questo genere di mail da pay pal.
Potrebbe essere un falso...
Comunque teniamoci aggiornati sull'argomento.
Grazie