Ik heb verschillende iDeal implementaties gedaan, de fout zit niet in de iDeal software maar in de software van de aansluiter.
Deze ontvangt van de webshop een bedrag en stuurt dit door naar iDeal.
Ideal rekent dit bedrag af en meld dat het gelukt is.
Dat de webshop zijn bedragen niet onderhuids maar gewoon via de browser naar de aansluiter stuurt is het probleem, zo kan de bezoeker gewoon zelf het bedrag aanpassen.
Alle betaal methoden van multipay waren (of zijn) ook zo te misleiden.
Rabodirect ondersteunde ook het bedrag doorsturen via de klant, maar dan moest er ook een hash meegestuurd worden om zo aanpassingen door de klant tegen te gaan.
@mddd, wat een geflame weer.
Wat heeft dit met open source te maken, je argument "als je niet weet wat er gebeurt" kun je juist weerleggen met opensource software, en niet met closed source software. Of ben je niet kundig genoeg om even te lezen wat er gebeurt onder de motorkap en kun je er alleen op fitten als het jouw uitkomt?
[Reactie gewijzigd door killercow]
Mijn post is absoluut niet als opensource-flame bedoeld hoor. Mijn argument is ook niet 'je kunt het niet controleren', maar 'blijkbaar moet je het zelf alsnog controleren'.
Als je een website bouwt kun je zelf een onderdeel (in dit geval een betaalmodule) bouwen, of je kunt een standaard bouwsteen gebruiken. En dat standaard onderdeel kan dan eventueel gekocht zijn of uit het vrij beschikbare circuit komen.
Het voordeel van een standaard element (zoals oscommerce idealm in dit geval) is natuurlijk dat je niet zelf al het werk hoeft te doen. Als je zelf alsnog de volledige code moet gaan doorspitten om te kijken of alles wel veilig is, dan heeft het m.i. weinig zin om uberhaupt dat element te gebruiken! Dan kun je het net zo goed zelf maken.
Het valt mij nogal tegen dat zo'n veelgebruikt pakket als oscommerce zulke slechte plugins kent. En dat versterkt mijn idee dat ik dus beter zelf een kritisch stuk als een betaalmodule kan schrijven, dan het van het net plukken.
En wat mij nog somberder stemt: er zijn ook zat mensen die zelf niet eens de kennis hebben om zoiets te kúnnen schrijven. Die hebben geen keuze. (Of die webshops zouden moeten bouwen is trouwens ook de vraag, maargoed).
[Reactie gewijzigd door mddd]
Gebruik dat niet "dit soort open source producten", want nu zijn je posts wat mij betreft flamebait of allerminst op onwaarheden gebaseerd.
Je geklaag slaat op open EN closed source... waarbij je bij closed source niet eens de mogelijkheid hebt deze te controleren.
Ik neem aan dat je dus alles zelf schrijft?
Of gebruik je closed source modules? Ik zie weinig closed source die niet ontzettend waanzinnig duur is waarbij de leverancier daadwerkelijk de verantwoording neemt voor fouten onstaan door problemen in hun software.
1. Closed source software wordt voornamelijk geschreven door ervaren programmeurs bij bedrijven die eerst hebben moeten solliciteren. Open source wordt geschreven door jan en alleman. Dit kunnen diezelfde goede programmeurs zijn, maar ook pietje die dus een totaalbedrag via POST verstuurt en er waarschijnlijk geen idee van heeft dat het niet veilig is.
2. Closed source is meestal betaald, en daarvoor verwacht je dat de software uitgebreid getest is. Niemand heeft de iDeal plugin van pietje bekeken, maar honderden winkels gebruiken deze wel.
3. Betaalmodules zijn een van de belangrijkste onderdelen van een webwinkel. Je wilt dat deze goed gebouwd en veilig is. Bij open source heb je de kans om deze in te kijken, bij closed source helaas niet. Máár als je betaald voor een betaalmodule, verwacht je kwaliteit, en bij open source weet je dat het mogelijk is dat pietje het gemaakt heeft.
Hieruit kan je concluderen dat closed source meer vertrouwen wekt als het om betaalmodules gaat. Wil je deze niet inkopen, en kies je voor open source, zorg dan dat je zelf kijkt of het veilig is (was osCommerce trouwens ook had moeten doen bij pietjes module). Als het niet veilig is, pas het dan aan.
Of je bespaart je al deze moeite, en kiest in sommige gevallen om het zelf maar te doen, wat mddd aandraagt.
Het is geen flame, maar een constatering van mogelijkheden en een oplossing daarvoor. Ik ben 100% voor open source, maar zoals dit bericht bewijst: het is een mogelijk beveiligingsrisico.
1. Dit weet je niet, voor hetzelfde geld is het door Floris de stagiair geschreven, maar hierbij ga je dan vaak af op de blauwe ogen (de reputatie) van het bedrijf. Bij OSS projecten kun je vaak wel een beetje een indruk opdoen van hoe met kwaliteit omgegaan word. Bekijk de documentatie (Klote documentatie is of geen serieuze developers, te kleine community, of zo een haast werk dat ze geen tijd meer hadden voor documentatie), lees wat code, en je krijgt vaak wel een indruk van de kwaliteit.
2. Ik heb enkele implementaties van webshops gedaan, en heb derhalve heel wat regels code van osCommerce gelezen (is al weer een poosje terug, dus kwaliteit ervan kan ik me niet meer herinneren). Als vele mensen onafhankelijk van elkaar met eigen ogen code doorlezen, dan is de kans groot dat er veel bugs geplet worden. Closed source modules worden maar door een beperkt aantal verschillende mensen gelezen.
"Verwacht dat deze goed getest is". Lees even een paar pagina's meuktracker door, en verbaas je over enkele commercieele closed source paketten met fouten waarvan je denkt "hadden ze dat niet wat beter kunnen testen". Verwachten/denken moet je zien te voorkomen, ik controleer liever nog eens.
3. Kwaliteit verwachten is iets anders dan krijgen, ik kan hier moeilijk voorbeelden gaan noemen van software waar je kwaliteit van zou verwachten maar het niet krijgt (Want dan loop ik het risico een verzameling fanboys van het betreffende product achter me aan te krijgen), maar er zijn genoeg voorbeelden.
![[RSS]](http://tweakimg.net/g/if/v2/icons/rss_small.gif){kind=icon}
De helpdesk van iDeal heeft zijn klanten per e-mail op de hoogte gebracht van het probleem. Door het geconstateerde lek kan een consument tijdens het orderproces op een oscommerce-webwinkel het te betalen bedrag manipuleren. De fraude is mogelijk door een fout in de opensourcemodule 'idealm', een module die door anderen is geschreven; het iDeal-platform zelf is onaangetast.
16:20
15:25
![[show]](http://tweakimg.net/g/if/comments/button_down.gif "Reactie uitklappen")
Door 
).
