Paypal IPN, SSL y ataques intermedios

4

Bien, supongamos que he estado implementando paypal IPN , y mi servidor responderá verificando con "https: // www.paypal.com/cgi-bin/webscr "y obtuve el mensaje VERIFICADO.

Primero, si mi servidor se conecta a PayPal mediante SSL, ¿garantizará que no habrá ningún hombre en los ataques intermedios, como alguien que envíe los comandos de IPN falsos, que intercepte mis mensajes de verificación de IPN y que envíe un mensaje VERIFICADO falso? ?

Segundo, ¿tener mi propio certificado SSL ayudaría en seguridad de alguna manera? No son tan caros, pero solo se preguntan cuál es su significado real. Supongo que podría ser útil para obtener esa barra verde en el navegador de los usuarios en cualquier caso.

    
pregunta kamziro 07.07.2011 - 07:55
fuente

3 respuestas

5
  1. Esto debería ser seguro contra ataques de intermediarios si su máquina comprueba que ha recibido un certificado válido para Paypal de su correspondiente.

    Tenga en cuenta que algunas bibliotecas SSL lo dejan a usted para implementar / solicitar esta comprobación, por lo que deberá confirmar cuidadosamente que su código está realizando esa comprobación. (Dado que su máquina está iniciando la solicitud HTTP a Paypal, para propósitos del protocolo SSL, su máquina es el cliente y Paypal es el servidor).

  2. No. La compra de su propio certificado no ayuda con esta comunicación con Paypal, cuando su máquina está iniciando una solicitud HTTP a Paypal. (Sin embargo, puede haber otras razones por las que es bueno que sus usuarios se conecten a su sitio a través de HTTPS en lugar de HTTP, lo que requiere un certificado).

respondido por el D.W. 07.07.2011 - 23:11
fuente
3

SSL es inmune a MITM siempre y cuando uno de sus pares esté autenticado. Normalmente, este es el extremo del servidor de la transacción, en este caso Paypal), a menos que alguien haya roto el extremo del cliente "simplemente tratando de que funcione", por ejemplo. aceptando cualquier cosa en el camino de un certificado de servidor.

    
respondido por el user207421 07.07.2011 - 12:09
fuente
-1

@kamziro: no estoy seguro de los comandos IPN de paypal ... pero en general, si desea evitar ataques de hombres en medio por ataques SSL, necesitará lo siguiente: i) SSL que implica la autenticación del cliente, lo que significa que Paypal debe autenticar el certificado de su servidor durante la fase de autenticación del certificado del cliente. ii) Tal vez utilice el certificado SSL de Paypal para cifrar el comando de IPN y puede firmar digitalmente con su clave privada, que puede verificarse en el lado de PayPal para verificar la autenticidad del remitente.

    
respondido por el ag112 07.07.2011 - 11:38
fuente

Lea otras preguntas en las etiquetas