Paypal: "Umgehendes Handeln erforderlich"

[sieghard]

Wenn dein Shop mittels Curl direkt mit PayPal spricht ist es völlig unerheblich wie alt oder neu dein Browser ist.

Wie wahrscheinlich bei den meisten modified-Installationen läuft auch bei unserem Shop die PayPal-Zahlung mit dem entsprechend konfigurierten Zahlungsmodul "paypal". Hat das etwas mit Curl zu tun bzw. muss ich da im Shop etwas ändern?

[Matt]

Siehe http://www.modified-shop.org/forum/index.php?topic=31466.msg286261#msg286261

[Matt]

Gerade festgestellt, dass die Konstante CURL_SSLVERSION_TLSv1 in php 5.3 nicht vorhanden ist, in dem Fall muss die Änderung daher lauten:

Code: PHP  [Auswählen]

        curl_setopt($ch, CURLOPT_SSLVERSION, 1);

[HaldOn]

Hallo Matt,

danke für die Codezeile.
Könntest du bitte einen vorhandenen Teil des Codes vor dem jeweils benötigten Eintrag (Zeilen vor 885 und 1323) posten, ich weis nicht ob es sie gleiche Version der Datei ist.

Danke Vorab.

[Matt]

883-887:

Code: PHP  [Auswählen]

        //turning off the server and peer verification(TrustManager Concept).
        curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, FALSE);
        curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, FALSE);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER,1);
        curl_setopt($ch, CURLOPT_POST, 1);

1321-1326:

Code: PHP  [Auswählen]

            curl_setopt($ch, CURLOPT_TIMEOUT, 30);
            curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 0);
            $result = curl_exec($ch);
            if(!curl_errno($ch)) {
              $mit_curl=1;
            }

Jeweils Zeilennummern der Originaldatei

[WayneTsun]

Es sind in der Datei zwei Blöcke mit der Anweisung "curl_setopt..." enthalten. Dort wird das wohl eingefügt.

Beste Grüße,
Wayne

EDIT: Da war Matt schneller...

[HaldOn]

Danke Matt und WayneTsun!

bei mir stehen die Zeilen 828-834 und 1247-1256
Version 1.5 Sp1d, paypal_checkout.php Stand 16.05.2010

[GTB]

Meiner Meinung nach besteht hier kein Handlungsbedarf.

Für den IE6 wurde 2010 ein Update bereitgestellt das auch dem IE6 TLS ermöglicht.

Zudem erfolgt hier mit CURL die Kommunikation von Server zu Server, was also nichts mit dem Browser zu tun hat.

Mit dem einfügen der curl_setopt wird lediglich Sichergestellt, dass die Communikation von den beiden Servern mit TLS gemacht wird. Da PayPal nur mehr TLS unterstützt erfolgt die Kommunikation ausschliesslich mit TLS, sofern das auch der eigene Server unterstützt. Wenn nicht, dann wird PayPal eben nicht funktionieren. Das ist aber dann Sache des Hosters bzw Serveradministrator.

Einige Shopsysteme haben hier nun ein Problem, da diese Zeile bereits so vorhanden ist:

Code: PHP  [Auswählen]

curl_setopt($ch, CURLOPT_SSLVERSION, 3);

Was bedeutet, dass hier nur mit SSLv3 von der Shopseite aus kommuniziert wird, was dann PayPal einfach ablehnen wird. Ohne der gesetzten Option Teilt hier der PayPal Server mit, dass er Anfragen nur mit TLS entgegen nimmt. Wenn das der Shopserver unterstützt, dann erfolgt die Kommunikation.

Gruss Gerhard

[webald]

Du siehst auch keinen generellen Handlungsbedarf? Immerhin kommuniziert der Cleint mit dem Webshop ja auch über https und da wird u. U. kein TLS eingesetzt. Bei Lastschrift etwa finde ich das schon relevant.

[Bonsai]

Der Kunde, der noch mit veraltetem Protokoll ankommt, dem ist sowieso nicht zu helfen. Wenn ich das richtig verstehe, betrifft das dann nur die Session des Kunden?
Es gibt Leute die machen ...

"Generell keine Updates, weil das immer das Betriebssystem zerstört"

Das sind die Leute, die sowieso schon 178 Trojaner, 58 Malware, 27 Viren und 3 Rootkits auf dem Rechner haben. Ich habe bei solchen Rechnern schon mal versucht nachträglich Updates zu installieren .... ja dann Streckt das Betriebssystem oft umgehend die Füße. Einer dieser Vollpfosten hat immer über seinen Internetprovider gemault, der wäre so langsam ..... Naja, wenn der Rechner auch für mindestens 3 Unterschiedliche Botnetze arbeitet 

Edit: Nachtrag --- Nach meiner Erfahrung sind das auch genau die Kandidaten, die erbost anrufen und eine technische Störung im Shop melden, weil man sie wegen Unsicherheit ausgesperrt hat. Lasst die nur machen, der nächste schlimmere Virus erledigt das Problem dann auf der Clientseite

[GTB]

Du siehst auch keinen generellen Handlungsbedarf? Immerhin kommuniziert der Cleint mit dem Webshop ja auch über https und da wird u. U. kein TLS eingesetzt. Bei Lastschrift etwa finde ich das schon relevant.

Wer hier handeln muss ist der Hoster bzw Serveradmin.

Wenn ein Shopbesucher kein TLS unterstützt, dann ist er eh die größte Virenschleuder...

Gruß Gerhard

[jumpM]

Hi auch
Ist diese Meldung denn offiziell von PayPal? Hab von denen selbst nämlich nichts bekommen und auch im Presseportal oder Blog nichts dazu gefunden?
Allerdings hatte heise vor einiger Zeit ja mal etwas zu den POODLE Attacken geschrieben bei denen das SSL V3 betroffen war.

Greetz Jens

Ich hatte auch die Mail und verte eigentlich auch das es nicht von Paypal ist, weil nach dem Einloggen bei Paypal solche Infos sofort aufpoppen!

Gruss
Robert

[fishnet]

Hallo Robert,

offizieller Paypal Blog.

[jumpM]

Hi,

ohoh..... ist ja doch was dran.........  gut zu wissen! Danke für den Link

Gruss
Robert

[luigee]

Bei T3N ist dazu auch ein Artikel zu finden:
http://t3n.de/news/paypal-ssl-tls-poodle-578642/

Gibt es denn für das "PayPal" bzw. "Paypal Express Kaufabwicklung (Warenkorb)" bereits ein update?