Date: Fri, 29 Mar 2024 08:27:32 +0000 (UTC) Message-ID: <767590548.769.1711700852670@localhost> Subject: Exported From Confluence MIME-Version: 1.0 Content-Type: multipart/related; boundary="----=_Part_768_1691638597.1711700852670" ------=_Part_768_1691638597.1711700852670 Content-Type: text/html; charset=UTF-8 Content-Transfer-Encoding: quoted-printable Content-Location: file:///C:/exported.html
Der Shop muss =C3=BCberpr=C3=BCfen, ob eine Benachrichtigungsanfra= ge wirklich von Computop Paygate stammt. Anderenfalls kann ein Angreifer ei= ne Transaktion initialisieren und dann diese Benachrichtigung f=C3=A4lschen= . Ein Shop-Betreiber wird nicht manuell pr=C3=BCfen, ob in jedem Fall eine = entsprechende Transaktion durchgef=C3=BChrt wurde. Deshalb muss das Modul d= ies automatisch machen.
Derzeit ist die Benachrichtigungsanfrage nur verschl=C3=BCsselt. D= iese Verschl=C3=BCsselung garantiert jedoch nicht die Authentizit=C3=A4t ei= ner Nachricht. Sie garantiert nur, dass eine Nachricht nicht mitgeh=C3=B6rt= werden kann. Daher ist diese Sicherheitsma=C3=9Fnahme unzureichend.
Deshalb wird der Antwortparameter MAC verwendet, der mit demselben= Algorithmus wie der M= AC in der Anfrage gebildet wird. Nur die Datenparameter unterscheiden s= ich.
F=C3=BCr die Hash-Generierung gilt hier folgendes Datenmuster:
Der Parameter MAC wird nur an U=
RLSuccess oder URLFailure sowie =
f=C3=BCr URLNotify zur=C3=BCckge=
geben.
Ihre Integration muss pr=C3=BCfen, ob die erhaltene Antwort authen= tisch ist.
Folgende Tabelle beschreibt, wie Sie die Hash-Werte erzeugen, um d= ie erhaltene Antwort vom Computop Paygate zu validieren:
Schritt |
Aufgabe |
||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 |
Melden Sie sie bitte beim Computop Helpdesk an, = der Ihnen das Hash-Kennwort mitteilt. |
||||||||||||||||||||||||||||||
2 |
Der HMAC-Wert wird mit Hilfe des Kennworts und mehrerer Parameterwerte b= erechnet. Zur Berechnung werden die Parameter PayID, TransID, MerchantID, S= tatus und Code verwendet und mit Sternchen getrennt:
|
||||||||||||||||||||||||||||||
3 |
Verwenden Sie den HMAC SHA-256-Algorithmus, d= en fast alle Programmiersprachen unterst=C3=BCtzen, um den Hash-Wert mit de= m Kennwort und den Parameterwerten zu berechnen. |
||||||||||||||||||||||||||||||
4 |
=C3=9Cberpr=C3=BCfen Sie
um sicherzustellen, dass die erhaltene Nachricht authentisch ist. |
Ihre Implementierung pr=C3=BCfen
Eine einfache Anwendung zur =C3=9Cberpr=C3=BCfung der Umsetzung Ihrer HM= AC-Berechnung finden Sie hier: https://computop.com/paygate-tes= t
Mit der Anwendung k=C3=B6nnen Sie mit unserer Paygate API s= pielen =E2=80=93 verwenden Sie einfach Ihre MerchantID und Ihr Blowfish-Ken= nwort, die Sie bereits erhalten haben.
Wichtig: Der Shop muss =C3=BCberpr=C3=BCfe=
n, ob eine Benachrichtigungsanfrage wirklich von Computop Paygate stammt. D=
azu muss aus den =C3=BCbermittelten Werten f=C3=BCr PayID, TransID, Merchan=
tID, Status und Code mit Ihrem HMAC-Passwort ein HMAC-Wert errechnet und di=
eser mit dem MAC-Wert der Anfrage verglichen werden. Sind die Werte nicht i=
dentisch, so darf die Benachrichtigungsanfrage nicht verarbeitet werden.
Wichtig: Zur Berechnung wird dieses Mal di=
e von Computop Paygate in der Benachrichtigungsanfrage =C3=BCbermittelte MI=
D verwendet.
Wichtig: Kennw=C3=B6rter d=C3=BCrfen