[Ataman] Co nas czeka - todo lista i inne

[Konrad Samanti]

Witam,

Po dłuższym okresie niebytu udało mi się powrócić do Królestwa by ruszyć na nowo z Atamanem. Poniżej znajduje się opis funkcjonalności, która będzie wdrażana w najbliższym okresie.

1. Podstawy CRIPu
Aby zlikwidować FERMENT (ukłon w kierunku nowego tworu JKW Edwarda Artura;) z numerami kont najważniejszą rzeczą jest w tej chwili wprowadzenie podstawowej funkcjonalności CRIPu, tak by można było na powrót przypisać konta firm do firm.

CRIP atamanowski będzie działał równolegle do aktualnego CRIPu, aż uzbiera on pełną funkcjonalność, kiedy to w drodze ustawy aktualny CRIP zostanie wyłączony.

Nowością w aCRIPie będzie panel administracji firmą, gdzie będzie dostępne więcej opcji związanych z prowadzeniem jednostki gospodarczej.

Jak zwykle zapraszam do zabawy nowym CRIPem - żadna operacja tam wykonana nie będzie miała skutku prawnego :).

2. Bankomat
Bankomat jest sprawą dość skomplikowaną, aczkolwiek prace nad nim trwają. Bankomat umożliwia wykonanie przelewu z konta na konto ze stron innych niż sgataman.info. Przykład:

Firma A sprzedaje gazetę X po 10 D za wydanie. Osobnik P123456 chce nabyć taką gazetę, więc strona firmy A odsyła go na odpowiednio spreparowaną stronę bankomatu w Atamanie, gdzie osobnik P123456 podaje swój SID i hasło (lub numer konta i hasło, jeżeli chce skorzystać z konta pobocznego). System weryfikuje dane, dokonuje przelewu (lub nie ;) i odsyła do strony firmy A.

Możliwy jest także scenariusz, kiedy osobnik P123456 nabył już wcześniej dane wydanie gazety i chce mieć do niego dostęp ponownie. Wtedy zostanie ponownie przekierowany do bankomatu, który stwierdzi, iż zakup został dokonany wcześniej i przekieruje osobnika z powrotem na stronę firmy.

Z punktu widzenia firmy:
Właściciel firmy A musi zalogować się w Atamanie i dodać w odpowiedniej zakładce nowy produkt, np. Gazeta X, wydanie 10 w cenie 10 D i link do wydania, np. http://www.dreamland.net.pl/gazetax/wydanie10.pdf. Wtedy otrzyma numer takiego produktu, który będzie musiał podać bankomatowi (np. otrzyma numer 111, wtedy aby dokonać sprzedaży poda link do produktu http://sgataman.info/bankomat.php?produkt=111 i osoba, która wejdzie w ten link, zakupi produkt, zostanie przekierowana na stronę http://www.dreamland.net.pl/gazetax/wydanie10.pdf).

Możliwe jest także użycie bankomatu jako zwykłego okienka przelewowego bez dodawania produktu (np. jako sposób na szybki przelew).

Jako, że skrypt bankomatu ma służyć głównie przedsiębiorcom, prosiłbym ich o wypowiedź w tej kwestii i ewentualne poprawki do wyżej przedstawionego modelu.

[Siergiusz Asketil]

Wszystko brzmi dobrze, ale pozwolę sobie zapytać czy SG Ataman udostępni jakiś skrypt który uniemożliwi ręczne dostanie się do produktu przez osoby, które go nie zakupiły?

Powiedzmy, że na sprzedaż jest dostęp do witryny (np. http://dreamland.net.pl/produkt). Legalnym odnośnikiem - jak wspomniano wyżej - będzie np. http://sgataman.info/bankomat.php?produkt=111 który przekieruje nas do http://dreamland.net.pl/produkt. Co jednak jeżeli potencjalny kupiec jest na tyle chytry, że ręcznie wprowadzi do przeglądarki adres "http://dreamland.net.pl/produkt"? Co jeżeli takowa osoba poda link do produktu - za który normalnie mielibyśmy zapłacić - w miejscu publicznym, np. na forum? Jeżeli wszystko ma być idealne powinniśmy pomyśleć co zrobić w takich przypadkach.

[Konrad Samanti]

Witam,

Sprawa takiego zabezpieczenia jest dość rozbudowana i można przyjąć parę możliwości. Na tę chwilę dwie z nich wydaje się sensowne:

1. Zabezpieczenie leży po stronie twórcy produktu. Może on wymóc np. zalogowanie do systemów KD. Twórca może też nie zabezpieczać, jeżeli brak mu takich umiejętności. Bankomat może kierować na np. http://dreamland.net.pl/produkt?nim=123456

2. Zabezpieczenie za pomocą klucza i mechanizmu POST. By to wykorzystać, twórca produktu musi mieć wiedzę techniczną. Po zakupieniu produktu, system bankomatu przekierowuje klienta na stronę twórcy przesyłając do niej za pomocą formularza POST różne dane, w tym NIM i klucz MD5. Klucz MD5 składa się np. z NIMu, daty i ciągu znaków znanych tylko twórcy i bankomatowi, co uniemożliwia praktycznie rozgryzienie kodu (przekierowanie na http://dreamland.net.pl/produkt i wysłanie formularzem POST:
nim=448446&md5suma=rlferjklgjerkljerklg345o8t). Oczywiście, pierwsza osoba, która kupi dany produkt może spreparować odpowiedni formularz, który zawiedzie wszystkie osoby do danego produktu. Tego nie można ominąć, chyba, że wymusimy jeszcze logowanie do serwera KD na stronie twórcy, co będzie dość upierdliwe.

Może lepsi specjaliści od zabezpieczeń znaleźli by ciekawsze rozwiązania, dlatego jestem otwarty na wszystkie propozycje :).

[Konrad Samanti]

A, wpadło mi jeszcze do głowy ;)

3. Po zapłaceniu osobnik jest przekierowywany na stronę produktu, np. http://dreamland.net.pl/produkt, gdzie musi zalogować się NIMem i hasłem, po czym strona produktu wysyła zapytanie i w zależności od jego wyniku odpowiada. Pokrótce:
<?
$x = file_get_contents("http://sgataman.info/bankomat.php?czyos ... cilaza=101");
if($x == "YES") {
//wtedy wyświetl
}
?>

Oczywiście, nie da się uniknąć piractwa pod postacią zapisywania pdfów na dysk i przesyłania ich dalej.

[ivoka]

Przepraszam, jeśli się wtrącam, ale toczy się tu bardzo ciekawa dyskusja.

Może zamiast pdf taka zawartość przechowywana by była w bazie i stamtąd pobierana?
Tak jak na tym forum:)

Ewentualnie klucz produktu w jakimś prostym szyfrowaniu (base64encode?) i zapisywanie do jakieś tabeli z uprawnieniami użytkowników. Druga tabela z indywidualnymi kluczami dla każdej publikacji. (np. id, id_publikacji, id_usera, klucz itp).

Jeżeli klucz dostępu w tabeli z zawartością wykupioną przez usera == kluczowi w tabeli z publikacjami to wtedy można czytać zawartość. Można by sprzedawać wtedy dostęp np. na kilka dni - po kilku dniach wystarczy zmienić klucz w tej tabeli od publikacji.

Pozdrawiam!

[Robert von Oliva]

Czy myślał może Pan o udostępnieniu API/biblioteki do PHP Bankomatu, które dawałoby możliwości komunikowania się z serwerem Atamana i potwierdzania płatności? Byłoby to jednocześnie najbardziej plastyczne oraz pozwalałoby na pewne powstrzymanie oszustów.

Piratami zaś powinna się zająć prokuratura ;)