Beh innanzitutto dovresti essere felice che arrivano euro a palate, comunque apparte gli scherzi io ti consiglierei di usare paypal per le donazioni, paypal funziona sempre, e soprattutto bisogna avere un account gia' bello e pronto.
Paypal è sicuro quindi non sta a te farti il culo per creare la connessione sicura durante il pagamento. Quindi se e' come dici tu, un "bot" cerca di pagarti 1 euro ogni volta, alcune volte va a buon fine e altre no. Mi verrebbe subito da pensare che potrebbe essere un modo per sniffare la connessione tra il sito e il meccanismo di pagamento online al fine di un intrusione remota. Tuttavia se usassi paypal credo che il problema verrebbe eliminato. 2008/2/27 Alberto Almagioni <[EMAIL PROTECTED]>: > > Buongiorno a tutti, > gestisco alcuni siti internet e spesso amici e conoscenti mi > chiedono informazioni e consigli tecnici, ma questa volta mi trovo > di fronte a un problema che non so come affrontare. > La situazione e' la seguente: su un sito internet su cui e' > possibile effettuare donazioni con carta di credito sono stte > individuate alcune operazioni sospette. A seguito di un'analisi del > database ho scoperto un numero decisamente rilevante di transazioni > consecutive da 1 euro, alcune con esito positivo, altre negativo. > A questo punto ho fatto inserire tra le informazioni raccolte nel db > anche l'ip di origine della richiesta di donazione(precedentemente > l'informazione non veniva raccolta in quanto sul sito si registrano > solo i dai anagrafici del donatore, l'importo e l'esito, mentre la > transazione vera e propria e' affidata al server del provider del > servizio): con poca sorpresa ho appurato che la maggior parte delle > operazioni sono originate dallo stesso ip e che la maggior parte > delle operazioni sono effettuate in orario notturno (in modo da > cercare di eludere il servizio di sms di alcune carte, visto che > spesso i titolari di notte spengono i cellulare o comunque non o > sentono). > A questo punto ho fatto contattare il gestore del servizio, quello > che effettua propriamente le transazioni, chiedendo lumi sul da > farsi e, secondo loro sul piano "tecnico" non e' possibile fare > molto altro. > Sinceramente mi chiedo quali altre misure si possa implementare per > limitare al minimo questo fenomeno e d'altra parte evitare di > "incasinare" la vita al potenziale donatore: ho pensato a un > blocco temporaneo dell'ip, pero' mi chiedo se per esempio questo > non possa creare un problema per utenti dietro un nat -reti > aziendali, fastweb(?) - senza di fatto risolvere l'inconveniente. > > Mi chiedo, in fine, quando sia necessario ricorrere alla PolPost e se > la denuncia, l'esposto o quant'altro debba essere fatta da parte > del merchant o di chi effettivamente fornisce il servizio di > transazione (che in sostanza ha molti piu' dati di quelli che posso > avere io). > > Grazie e ciao > > > -- > Alberto > > > > > ________________________________________________________ > http://www.sikurezza.org - Italian Security Mailing List > > -- Langy www.googlebig.com ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
