31 Jul '12, 2pm

или взломана ещё одна bitcoin-биржа. “День бабла” продолжается Итак, на сей раз жертвой хакеров стала биржа BTC-E....

Использовать HTTPS Устанавливать ссылку на обработчик нотификаций в настройках мерчанта и никогда не ставить его в виде параметра в форме (не для всех платёжек такое возможно, но их слава богу мало). Не держать обработчик нотификаций на том же домене и с очевидным адресом. Сделайте пару неговорящих ни о чем поддоменов и используйте один из них, либо зарегистрировать вообще отдельный домен под это дело. Путь к скрипту обработки не должен угадываться на раз, все попытки неправильных запросов отфутболивать как 404. Внимательно проверять статусы транзакций, соотвествие валют, соотвествие суммы записаной в транзакции и той, что пришла в нотификации. Обязательно вести лог действий над транзакцией, любые несоотвествия нещадно и подробно логировать. Потом спасибо сами себе скажите. Ограничить доступ по IP, что-бы доступ имел только сервер платёжной системы. Но нужно учитывать, что...

Full article: http://habrahabr.ru/post/148808/

Tweets