Trung tâm cá nhân
Bài viết phát hành
từ bỏ
Bài viết phổ biến của tác giả
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
27
4
因此,就像任何有能力的 Web 开发商店一样,当我们接触信用卡时,我们会戴上棉手套,并使用 Braintree SecureVault 来存储它们,这样我们就不会遇到 PCI 合规性问题。
然而,现在我们想为我们的服务提供免费试用,这在很大程度上依赖于能够保证给定的信用卡仅用于免费试用一次。理想情况下,我们将能够对信用卡号本身进行哈希处理以保证唯一性。问题在于有效信用卡号码的集合很小,因此很容易暴力破解信用卡号码。据我所知,加盐策略是无用的,因为如果有人可以访问哈希数据库,他们很可能也有代码,因此也有加盐算法。
迄今为止最好的两个想法是:
A) 将哈希值隔离在一组中,与其计费信息无关。因此,如果哈希是暴力破解的,那么它们所拥有的只是一个在某个时间点使用过的信用卡号码列表,没有个人信息,也不知道它是否仍然有效。这里的主要弱点是我们确实有 last-4 的记录,这可能会在某种程度上用于匹配它们。
B) 没有全数的散列,处理误报和误报。名称、last-4 和过期时间的散列应该是相当独特的。误报就像中了彩票,我们可以在客户支持处处理。修改名称可能会导致漏报,我们不清楚我们对名称匹配的准确性有什么保证(我的理解可能受到网关和商家帐户的影响),因此这可能会打开一个漏洞。
想法?建议?久经考验的智慧?
1 Câu trả lời
高级别的:使用现有的支付系统
我认为这种方法——使用信用卡号码来确定用户是否已经利用了免费试用并且应该没有资格获得随后的免费试用——是错误的。首先,您将通过预先要求信用卡(许多用户除非他们真正准备好购买否则不会提供信用卡)来赶走潜在客户,而不是仅在试用期结束后才要求信用卡。
其次,你正在重新发明轮子。有大量的“应用商店”(Chrome 网上商店、Android 市场、iTunes 应用商店等)提供内置的付款和试用期机制。使用这些系统将提高您的产品对消费者的可见度,为您的潜在客户提供多种不同的支付方式(使他们更倾向于购买),并且还可以省去您自己实现这种机制的麻烦。此外,用户通常更愿意将信用卡发放给尽可能少的公司;您不仅必须自己实现这种复杂的机制,而且还必须让用户足够信任您以使用它。
底层:实现细节
任何哈希机制都可能有冲突,因此您仍然需要处理这个问题。您显然应该对服务器使用全盘加密和其他最佳安全实践。通过将后端数据库服务托管在与托管此代码的计算机不同的计算机上,可以降低数据库和加盐算法同时受到损害的风险。哈希的主要漏洞是蛮力攻击。处理它们的最好方法就是让暴力破解变得足够昂贵,以至于不值得攻击者花时间。为每个条目使用单独的盐(例如,客户的姓名、客户的邮政编码等作为盐的一部分)将使使用彩虹表无效。当然,使数据本身对攻击者的值(value)降低(例如,不包括完整的信用卡号)也是阻止此类攻击的好方法。无论如何,我再次建议您利用许多应用商店,而不是自己实现。
关于hash - 有没有一种安全的方式来保证信用卡的唯一性?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4951993/
27
4
0
由于数字也可以是小数,这让我认为 CC 数字应该是整数。这是有道理的,因为我认为任何信用卡都不会以 0 开头,而且它们都遵循相同的模式: 4444333322221111 所以我猜它们是一个整数,但我
有没有办法让 paypal 在后台处理我的信用卡,而无需用户离开我的网站或拥有 paypal 帐户? 或者此功能仅适用于“Pro”帐户? 谢谢。 最佳答案 这也适用于普通帐户。 直接支付用户体验 直接
有没有人有任何使用信用卡文件服务的经验,处理信用卡信息的存储以进行持续购买? 我们正在寻找一种解决方案,该解决方案可以通过 Web 服务或类似服务与自定义 ASP.NET 应用程序集成,但从我们这边移
我想知道如何在不使用 Apple 的应用内购买机制的情况下向用户询问信用卡详细信息并向他收费。 我的想法是将用户的信用卡发布到我的在线信用计费系统,并在网站上进行交易,在后台进行交易,然后将交易结果报
我想对 Guest Checkout 用户使用 Paypal 定期付款。也就是说,用户可以在没有任何 Paypal 帐户的情况下订阅我的计划。他也不需要创建 Paypal 帐户。只有他/她的信用卡 最
我在我的网站中集成了 NVP 方法,使用信用卡和 PayPal 进行定期付款。 完成付款后,新的用户资料将在商家的 PayPal 帐户中创建。但立即在 PayPal 网站中添加了第二行,显示配置文件的
当用户直接付款时(以客人身份购买 - 用信用卡付款),默认情况下,用户需要在转到信用卡号、csc 等之前填写信用卡帐单地址和电话号码。实际上我不需要真的想要账单地址,我可以直接将用户指向信用卡号,cs
通常,作为一个普通的应用程序,使用 active-merchant 和任何支付网关,我们提供一个基本的表格来填写属性: cc = CreditCard.new( :first_name => 'S
我使用的 iFrame 托管在另一个具有 SSL 证书的域上。在使用 iFrame 的页面上,我在 Google Chrome 的域旁边收到“不安全”消息,并在控制台日志中收到以下警告: This p
在我的 RoR 应用程序中存储我的客户的信用卡和账单信息的最佳做法是什么? 实际上,我正在使用 ruby 1.9.2、Rails 3.2.3,我正在考虑在 Heroku 中部署我的应用程序。 我们
关闭。这个问题是off-topic .它目前不接受答案。 想改进这个问题? Update the question所以它是on-topic对于堆栈溢出。 11年前关闭。 Improve this qu
这是一个关于信用卡处理的问题。我们正在使用 AVS 并发现每笔因 AVS 失败的交易都会导致保留客户卡上的总金额。多次失败意味着多次保留。 发生这种情况是因为仅在 AUTH 完成后才检查 AVS。因此
假设我们有一个适用于手机的应用程序。制作此应用程序的原因之一是在特定网站的交付最后步骤中插入用户的一些关键信息,而这些信息并非来自应用程序创建者。它填写了地址、信用卡和真实姓名。在该网站购买商品后,应
我终于想出了如何使用这个 tutorial 实现 Stripes Monthly Billing 目前我的#new_subscription 表单和编辑表单的提交按钮创建信用卡数据并将其发送到 Str
我在 PayPal Pro/Express Omnipay Gateway 上测试沙盒信用卡时遇到问题。我正在使用在 Laravel 上运行的 October CMS,据我所知,它使用 Laravel
我希望用户能够通过 Windows Phone 应用程序购买门票,并且不想为此目的使用网络浏览器。票价可能不同。 是否可以通过电子钱包应用程序处理付款或需要与某些处理系统集成? 另请建议在 Windo
đóng cửa. Câu hỏi này không đáp ứng được hướng dẫn của Stack Overflow. Hiện tại câu hỏi này không chấp nhận câu trả lời. Chúng tôi không chấp nhận những câu hỏi tìm kiếm lời khuyên về sách, công cụ, thư viện phần mềm, v.v. Bạn có thể chỉnh sửa câu hỏi để có thể trả lời bằng các sự kiện và trích dẫn. Đã đóng cửa 6 năm trước.
Tôi là một lập trình viên xuất sắc, rất giỏi!