Schnittstellenblog

Vor einigen Monaten veröffentlichte Amazon einen neuen Service namens “Amazon Payments”, ein Online-Bezahlsystem für den eigenen Online Shop um im Checkout-Prozess die Zahlart “Bezahlen über Amazon” anzubieten. Den Einsatz von Amazon Payments sollte man sich allerdings gut überlegen, da einige Fallstricke in Zusammenhang mit der Afterbuy Bestellübertragung lauern.

Das von ruhrmedia entwickelte Modul verwendet einen eigenen Checkout im Gambio, so dass die normalen Verarbeitungsschritt entfallen.
Dadurch wird die Übertragung der Bestellung an Afterbuy nicht angestossen.

Das ist allerdings nicht das einzige Problem: wenn Gastbestellungen über Amazon Payments zugelassen werden, liefert Amazon nur eine Lieferadresse, aber keine Mailadresse des Käufers.
Das allein ist schon für einen Onlineshop unglücklich. Es verhindert aber auch die Übertragung an Afterbuy, weil Afterbuy in seiner Schnittstellen API eine Mailadresse in der Bestellung vorschreibt.

Fazit: ohne weitere Anpassungen ist Amazon Payments bei Verwendung der Afterbuy Schnittstelle nicht zu empfehlen.

Hier erreicht mich gerade ein Newsletter von Moneybookers.
Diese Passage weckte mein Interesse:

Gebühren: Wir haben eine neue Servicegebühr für Händler bei Inaktivität des Kontos eingeführt. Weitere Gebührenänderungen in Verbindung mit Ihrem Skrill (Moneybookers) Händlerkonto wird es nicht geben.

Genaueres findet sich in den neuen AGB. Und dort findet sich auch die genaue Gebühr:

9.2. Notwithstanding clause 9.1 above, the Merchant will be charged a monthly inactivity fee of 19.95 EUR (or equivalent), if no funds have been uploaded, withdrawn, sent or received through the Merchant Account(s) within the last six (6) months. This shall however not apply to the extent that the Merchant is subject to the gateway usage fee as set-out on the merchant fees page.

Ob man mit diesen Gebühren Händler dazu bringt, den Service anzubieten?

Afterbuy hat seine API erweitert, so dass in Zukunft Doppelbestellungen vermieden werden sollen.
Hierfür ist eine Anpassung der Bestellweiterleitung notwendig.

Gerne übernehmen wir die Anpassung für Sie. Sie können es entweder als Einzelleistung buchen oder im Rahmen unseres Anpassungsservice der Afterbuy Schnittstelle

Rossmann hat es abgelehnt, kubanische Artikel aus seinem Sortiment zu nehmen.

Hoffentlich folgen noch viele diesem Beispiel:

http://www.heise.de/ct/meldung/Lassen-uns-nicht-erpressen-Rossmann-schmeisst-Paypal-raus-1340041.html

Billsafe wird bei vielen Shops zur Abwicklung von Kauf auf Rechnung eingesetzt. Wenn Bestellungen zusätzlich an Afterbuy übertragen werden, findet Afterbuy allerdings die Zahlungsdaten von Billsafe nicht (Zahlungsziel, BTN und Billsafe-Bankverbindung).Der Grund dafür ist, dass der Shop an Billsafe die Warenkorb-ID sendet, nicht die Bestell-ID (Order-ID). An Afterbuy wird allerdings nur die Order-ID übertragen. Somit kann Afterbuy unter dieser Order-ID keine Bestellung in Billsafe finden.

Durch eine minimale Änderung kann man an Billsafe ebenfalls die Order-ID übertragen.

In der Datei:

includes\modules\payment\pi_billsafe.php Zeile 252

die Zeile
‘order_number’            => $_SESSION['cart']->cartID,

ersetzen durch

‘order_number’            => $_SESSION['tmp_oID'],

und schon sollten es mit der Ausgabe von “BillsafeHinweis” und den Bankdaten in der Rechnung funktionieren.

Viele Entwickler von kostenloser Software bieten Hashwerte an, damit der Benutzer prüfen kann, ob die heruntergeladene Version auf unbefugte Änderungen zu prüfen.
Ein Beispiel ist KeePass:
http://keepass.info/integrity.html

Unter Windows hat man leider nach der Installation des Betriebssystems kein Tool zur Hand, um Downloads auf Echtheit zu verifizieren.

Microsoft bietet ein Kommandozeilentool an, das diese Funktion nachrüstet (“File Checksum Integrity Verifier”)

http://support.microsoft.com/kb/841290/de

http://download.microsoft.com/download/c/f/4/cf454ae0-a4bb-4123-8333-a1b6737712f7/windows-kb841290-x86-enu.exe

Deutlich komfortabler geht es allerdings mit der Software Hashtab. Diese erweitert das Eigenschaften-Menü einer Datei um einen Tab für Hashwerte
http://www.heise.de/software/download/hashtab/30191

PayPal liefert einen weiteren Grund, sich nach anderen Zahlungsanbietern umzusehen…

Golem.de: Paypal will in Deutschland Kuba-Embargo durchdrücken

Afterbuy hat weitere Änderungen an den Schnittstellen URLs der API angekündigt.

Letztes Jahr im August wurde ein neuer API-Server von Afterbuy angelegt, mit der neuen URL https://api.afterbuy.de.
Wir haben damals schon einen Newsletter versendet und auf die neuen URLs hingewiesen

Heute teilte uns Afterbuy mit, dass die bisherigen Afterbuy API URLs

https://www.afterbuy.de und https://net.afterbuy.de

bis zum 01.08.2011 noch erreichbar sind, danach funktioniert nur noch die neue URL.

Das hat zur Folge, dass gewisse Anpassungen nötig sind, falls Sie diese nicht schon im letzten oder diesen Jahr vorgenommen haben.

Wir erläutern Ihnen hier, welche Anpassungen nötig sind. Sollten Sie unsicher sein, können Sie uns auch über unser Helpdesk

http://www.mickser-consulting.de/helpdesk/

eine Anfrage senden, wir nehmen die Anpassung gerne zum Festpreis für Sie vor.

Hier der Originaltext von Afterbuy:

Shopware präsentiert sich selbst als Alternative zu Oxid CE und Magento. Das bislang proprietäre System steht seit Ende Oktober als quelloffene Version zum Download bereit, nur Zusatzmodule sollen weiterhin verschlüsselt bleiben. Der ideale Anlass, sich das System mal genauer anzuschauen.

Nach dem Download von Shopware verläuft die Installation des Systems etwas ungewohnt. Ohne phpmyadmin kann man den Shop nicht installieren. Umständlicher geht es kaum. Selbst das 10 Jahre alte OS-Commerce kennt eine komfortablere Installationsroutine.

Nach der Installation folgt die zweite Überraschung: für den Betrieb des Shops ist dennoch Zend Optimizer nötig, auch wenn keine Zusatzerweiterungen installiert wurden. Und man muss trotzdem eine Lizenzdatei beantragen, auch wenn man nur die Community Version nutzen will. Das ist ein deutlicher Unterschied zu der Community Edition von bswp. Oxid und für mich unverständlich. Warum gibt man die Community Version nicht komplett frei?

SSL (Secure Socket Layer) wurde Mitte der Neunziger Jahre von Netscape entwickelt, um sichere und authentische Internetverbindungen zu ermöglichen.

Viele Webuser verbinden seitdem den Begriff SSL automatisch mit Sicherheit. Das Schloßsymbol im Browser bzw. die grüne Adressleiste, so die gängige Meinung, soll automatisch für eine sichere Verbindung mit einem anderen Server sorgen. Angreifer, die sich dazwischenschalten wollen (Man-in-the-Middle), um Daten, Passwörter etc. abzufangen, sollen durch die Zertifikatsprüfung bei den Zertifizierungsstellen, den sogenannten “Certificate Authorities” (CAs, z.B. Thawte, Verisign usw.), ausgeschaltet werden. Die CAs garantieren, dass das verwendete SSL-Zertifikat authentisch ist.

Aber wie sicher ist SSL wirklich?

Heise griff das Thema in diesem Artikel auf. Schwachpunkt des Verfahrens sind u.a. die Zertifizierungsstellen, auf deren Vertrauenswürdigkeit das ganze System aufbaut. Die CAs prüfen vor Ausstellung, ob das Zertifikat auch zu dem entsprechenden User gehört. Von CAs geprüfte SSL-Zertifikate werden beim Aufruf des Servers dann als “sicher” angezeigt, solange der überprüfte Servername verwendet wird, das Zertifikat gültig und noch nicht abgelaufen ist.

Woher weiß der Browser aber, welchem CA zu vertrauen ist?

Dazu sind sogenannte Root-Zertifikate in allen Browsern bereits vorhanden, die bestimmte CAs vertrauenswürdig erscheinen lassen. Jemand der den privaten Schlüssel dieser CAs vorliegen hätte, könnte beliebige SSL-Zertifikate herausbringen, die dann allgemein als “sicher” angezeigt werden.

Viele dieser CAs sind in den USA beheimatet. Es besteht Grund zu der Befürchtung, dass Regierungsstellen die CAs zwingen könnten, mit Ihnen zusammenzuarbeiten, um verschlüsselte Verbindungen abhören zu können. Einige Firmen bieten diese Dienste bereits auch offiziell an.

Es bestehen aber weitere Gefahren. Moderne Browser zeigen zwar an, wenn die Authentizität eines Zertifikats nicht überprüft werden kann, viele User lassen sich aber dadurch nicht abschrecken. Dadurch kann auch ein nicht vertrauenswürdiger Server vom User als sicher eingestuft werden.

Noch gefährlicher ist eine dritte Variante: Gelingt es einem Angreifer, ein Herausgeberzertifikat zu fälschen, kann er beliebige Zertifikate ausstellen. Bereits 2008 wurden Schwachstellen in den Verschlüsselungsverfahren aufgedeckt. Selbst das Fälschen ist aber nicht unbedingt nötig: CAs können andere Stellen als CAs zertifizieren. Der User hat kaum Möglichkeiten, die gefälschten Zertifikate und die nicht vertrauenswürdigen CAs zu erkennen.

Fazit: Absolute Sicherheit gibt es im Internet nicht. Tools wie dieses AddOn, das die Zertifizierer überprüft, können die Sicherheit verbessern. Meist hilft nur eine gesunde Portion Misstrauen. Jeder User muss selbst abwägen, ob er einer Internetseite trauen will oder nicht.