क्या आप सुरक्षित रूप से आईपी के माध्यम से एक अनुरोध प्रमाणीकृत कर सकते हैं? - PHP, सुरक्षा, भुगतान-प्रवेश द्वार

मैं वर्तमान में एकीकृत कर रहा हूँ NAB लेनदेनई-कॉमर्स शॉप में पेमेंट गेटवे। एक बार भुगतान संसाधित हो जाने के बाद NAB Transact सिस्टम परिणाम प्राप्त करने के लिए हमारे लिए हमारे समापन बिंदु पर एक POST अनुरोध भेजता है।

समस्या यह है कि POST अनुरोध में कोई शामिल नहीं हैसुरक्षित हैश / टोकन जिसे हम NAB ट्रांसैक्ट सिस्टम में वापस पोस्ट करने के लिए उपयोग कर सकते हैं यह प्रमाणित करने के लिए कि अनुरोध वास्तविक है और खराब नहीं है। इससे भी बदतर, NAB लेनदेन प्रणाली में किसी भी जानकारी के प्रमाणीकरण के लिए एपीआई नहीं है, अनिवार्य रूप से, बहुत खराब सुरक्षा!

क्या इनको सुरक्षित रूप से प्रमाणित करने का कोई तरीका हैअनुरोध? उदाहरण के लिए, जाँच कि अनुरोधों को ज्ञात IP पतों की एक सूची से आता है जो NAB लेनदेन प्रणाली को संचालित करता है? या एक आईपी देखने रिवर्स? क्या विकल्प हैं और आप इसे PHP में कैसे लागू करेंगे?

IP प्रमाणीकरण पर निर्भर नहीं है क्योंकि यह तब तक सुरक्षित नहीं है जब तक इसे ख़राब नहीं किया जा सकता है?

उत्तर:

समस्या यह है कि POST अनुरोध में कोई सुरक्षित हैश / टोकन नहीं है कि हम वापस करने के लिए उपयोग कर सकते हैं NAB लेनदेन प्रणाली को प्रमाणित करें कि अनुरोध वास्तविक है और खराब नहीं है

हाँ - यह ठीक है एक समस्या :)

IP प्रमाणीकरण पर निर्भर नहीं है क्योंकि यह सुरक्षित हो सकता है जाली?

यह बिल्कुल सुरक्षित नहीं है!

आईपी ​​पते के आधार पर प्रमाणीकरण ठीक है अगर आप:

• आईपी ​​की सूची (जैसे भुगतान प्रदाता द्वारा उपयोग की जाने वाली)
• IP स्थिर हैं (स्पष्ट रूप से, लेकिन यदि अनुरोध वास्तव में प्रदाता द्वारा भेजा गया है और उदाहरण के लिए "भुगतान सफल" पृष्ठ पर छिपे हुए फ़ॉर्म के माध्यम से नहीं है जो कि मामला है)
• वे आपको तुरंत किसी भी परिवर्तन के बारे में सूचित करते हैं (या आपकी स्क्रिप्ट मान्य अनुरोधों को अस्वीकार कर सकती है या प्रदाता द्वारा उपयोग नहीं किए गए आईपी से अनुरोध स्वीकार कर सकती है)
• सभी प्रणालियाँ जो आईपी पते का उपयोग कर सकती हैं (अर्थात भुगतान प्रदाता के सर्वरों का मानना ​​है कि डेटासेंटर कुछ भद्दे नेटवर्क सेटअप का उपयोग नहीं कर रहा है) किसी भी गलत सूचना को न भेजने के लिए पर्याप्त विश्वसनीय है।

स्रोत IP को स्पूफ़ करना संभव नहीं है क्योंकि TCP तीन-तरफ़ा-हैंडशेक का उपयोग करता है और एक स्पूफ़्ड IP के साथ हैंडशेक विफल हो जाएगा।

तो मूल रूप से: आईपी ​​द्वारा प्रमाणीकरण स्वीकार्य है यदि कुछ बुनियादी मानदंड (ऊपर देखें) मिलते हैं, लेकिन निश्चित रूप से यह अधिक सुरक्षित होगा यदि उन्होंने आपको अधिसूचना को मान्य करने का तरीका प्रदान किया है - या तो उनकी तरफ से एक एपीआई कॉल करके या क्रिप्टोग्राफ़िक हस्ताक्षर का उपयोग करके (बेहतर क्योंकि यह एक अगम्य दूरस्थ सर्वर के कारण विफल नहीं हो सकता है)।