Guten Tag,

heutzutage gibt es allerhand Webshops und allerhand Bezahlsysteme, aber noch nicht für alle Webshops gibt es fertige Module zur Anbindung bestimmter Bezahlsysteme.

Es geht jetzt darum, einem dieser bisher exotischeren Webshops mitzuteilen, dass eine Überweisung in Sofortueberweisung.de erfolgreich abgewickelt wurde.

Leider fehlt mir hierzu bisher die Idee für eine manipulationsresistente Transfer-Methode:

Es besteht ja - jeder der Sofortueberweisung.de schon angebunden hat, wird das wissen - die Möglichkeit, nach einer erfolgreichen Buchung eine URL mit Parameter aufzurufen. Hier könnte man jetzt zwar als Parameter einen Schlüssel angeben, aber woher sollte dieser Schlüssel kommen, wenn nicht aus dem Formular, über das Sofortueberweisung.de aus dem Shop heraus aufgerufen wird. Man könnte also mit diesem Schlüssel, der sich im Quellcode der aufrufenden Shop-Seite findet (und da hilft es nichts, dass er dank Input-Prüfung nicht änderbar ist, denn der Bösewicht will ihn nicht ändern, sondern nur kennen), nehmen und die Bestätigungs-URL - spätestens nach der ersten Probebestellung kennt man deren Aufbau ja - selbst zusammenstricken, OHNE überwiesen zu haben...

Wer hat eine Idee für einen manipulationsresistenten Ansatz bzw. was gibt es da für etablierte Verfahren, bei dem die Bestellung im Shop zwar als überwiesen gekennzeichnet wird, jedoch ohne, dass dies ohne eine vorausgegangene Überweisung möglich wäre? ;)

Interessant wäre sowohl ein allgemeiner Ansatz als auch einer speziell für Sofortueberweisung.de, wofür ich im Handbuch keine Anleitung gefunden habe, die speziell auf die manipulationsresistente Bestätigungsübermittlung eingeht.

Gruß Michi