Mr. Third

Рейтинг
114
Регистрация
07.07.2006
Mr. Third:
Я не понимаю, при чем тут SSL. Все данные, связанные с заказом, пересылаются от магазина в Яндекс.Кассу не напрямую от сервера магазина к серверу Я.Кассы, а опосредованно через браузер пользователя. На этапе между получением формы от магазина и отправкой ее дальше (как правило, по явному нажатию кнопки типа "Оплатить") подвинутый пользователь (ОК, очень продвинутый пользователь, обладающий определенными навыками) может поменять любое значение любого поля любой формы. Не вижу вообще ничего, что может этому помешать.

Думаю, надо спросить про данную проблему (или не проблему, если я вдруг ошибаюсь) в тех.поддержку Я.Кассы. Займусь и доложу. Правда, если они ответят, то это наверняка произойдет не сильно скоро :)

По прошествии недели ситуация с данным вопросом следующая. Из техподдержки Яндекс.Кассы в ответ на предположение о возможности подмены списка товаров пользователем при интеграции с онлайн-кассой ответили следующее:

Данный вопрос мы взяли к себе на проработку. С комментариями вернемся. Спасибо.

Дополнительных комментариев пока нет.

В блоге Яндекс.Кассы тоже есть два пользовательских упоминания этой проблемы, и тоже пока без чьих-либо комментариев:

https://kassa.yandex.ru/blog/fz54-developers/593358ed8b02b60028680d8d
Ведь передача списка товаров через форму - слабое место схемы. Очень Злой Очень Продвинутый Покупатель может запросто подменить список и отправить в Яндекс.Кассу вместо, например, списка книг, скажем... а, впрочем, пусть каждый пофантазирует сам.
https://kassa.yandex.ru/blog/lk54fz/59426a922fdb7b00297aad61
Параметр ym_merchant_receipt передаётся в открытом виде в html-форме. Клиент может изменить содержимое вашего чека: изменить название товара, ставку НДС, систему налогообложения и т.д.

По-прежнему уверен, что проблема скорее существует, чем нет, и следующим шагом со стороны Я.Кассы будет предложение какого-то решения.

---------- Добавлено 16.06.2017 в 04:55 ----------

Astrolog:
Когда я прихожу получать что-то от Ozon (думаю это магазин с репутацией) ...
Про тот же Юлмарт вообще молчу - там наверное 99% оплачивают прямо в ПВЗ...

А у Озона и особенно Юлмарта разве не "собственные" пункты выдачи? Таким гигантам в каждый ПВЗ поставить по кассе и как-то это дело интегрировать как раз наверняка будет не очень сложно. Изначально, как я понял, в комментарии речь шла о пунктах, обслуживающих сразу многие мелкие магазины.

Кстати, решение можно найти просто в обеспечении пунктом выдачи возможности получателю оплатить заказ на сайте самого магазина. Компьютер с интернетом в ПВЗ, пользователь получает и проверяет товар, заходит на сайт магазина и там оплачивает как если бы платил сразу. Ответственность за прием оплаты и выдачу чека - на магазине.

hb2bd:
хех, веселье только начинается
...
По словам Артема Соколова, у ПВЗ несколько путей.
...

АКИТ

А почему нет варианта "оплата заказа в магазине, а пункт выдачи только, собственно, выдает"? Живу, мягко говоря, не в центре России, часто заказываю в пункты выдачи (как физические с живыми людьми, так и в постаматы) и ни разу не заказывал с оплатой при выдаче. Такое вообще многие магазины и многие покупатели практикуют?

Astrolog:
К примеру номер мобильного телефона нужно запрашивать обязательно, иначе куда чек-то отправлять...

На электронную почту тоже можно. Единственное, что мне не совсем понятно, в законе указано "либо": "на абонентский номер либо адрес электронной почты", так вот - кто принимает решение относительно этого "либо" - покупатель, или магазин может сам выбрать.

Проверять, что чек точно доставлен, как я понял, тоже необязательно. Пользователь указал какой-то адрес или какой-то номер, ОК, шлем на него, указание корректного номера или адреса находится в зоне ответственности покупателя.

hb2bd:
SSL ты тоже подменяешь?

Я не понимаю, при чем тут SSL. Все данные, связанные с заказом, пересылаются от магазина в Яндекс.Кассу не напрямую от сервера магазина к серверу Я.Кассы, а опосредованно через браузер пользователя. На этапе между получением формы от магазина и отправкой ее дальше (как правило, по явному нажатию кнопки типа "Оплатить") подвинутый пользователь (ОК, очень продвинутый пользователь, обладающий определенными навыками) может поменять любое значение любого поля любой формы. Не вижу вообще ничего, что может этому помешать.

Думаю, надо спросить про данную проблему (или не проблему, если я вдруг ошибаюсь) в тех.поддержку Я.Кассы. Займусь и доложу. Правда, если они ответят, то это наверняка произойдет не сильно скоро :)

dag:
Mr. Third, оно? да и где Вы остальные параметры возьмете, например идентификатор контрагента?
hb2bd:
Там проверка токена происходит (тот же shop password)

Все данные, необходимые для платежа (подчеркиваю: все, включая все идентификаторы, все ссылки, вся информация о пользователе, сумма покупки, а теперь еще и список товаров), передаются в Яндекс.Кассу в открытом виде через hidden-поля POST-формы. Возможно, есть какие-то более хитрые способы подключения, но в обычном подключении это так (см. раздел "Платежная форма" в тех.документации Яндекс.Кассы). Единственный скрытый от глаз параметр - это действительно shopPassword, но он нужен только для расчета и сверки хэша, в который, во-первых, список товаров не входит (и включить его туда затруднительно ввиду того, что придется жестко договариваться о формате строки), а во-вторых, даже его проверка на стороне магазина является, хоть и настоятельно рекомендуемой, но де-юре опциональной.

Возможно, Яндекс.Касса при запросе проверки заказа вернет магазину список товаров для чека. Говорю "возможно", так как по состоянию на текущий момент описание протокола об этом умалчивает. Так вот, во-первых, уверен, что не все магазины догадаются этот список проверить и сопоставить с реальным, а во-вторых, в протоколе Яндекс.Кассы есть еще такой вариант, как форма с уведомлениями по e-mail, там вообще никаких дополнительных проверок после POST'а формы с данными не подразумевается, а поддержка онлайн-касс таки, наоборот, подразумевается.

Если что, я подключал Яндекс.Кассу, реализовывая протокол самостоятельно полностью с нуля. И более-менее точно представляя, как этот протокол работает, я вижу, что защитить список товаров от подмены сейчас сложно, а при формате работы "форма для email-уведомлений" вообще невозможно. Буду очень рад ошибиться, но пока я не вижу, где у меня может быть ошибка.

dag:
Расскажите пожалуйста подробнее, как Вы себе это представляете?

Да даже если тупо сохранить страницу магазина с формой, предназначенной для POST'а в Яндекс.Кассу, в файл, поменять список товаров в notepad'е, открыть то, что получилось, и нажать на кнопку "оплатить" - даже такой простой вариант должен (может) сработать.

green01:
Звонил в модуль, сказали, спрашивал про сменные батареи для планшетов на всякий пожарный - ответили, что они какие-то эксклюзивные из Китая, и таких прозапас вы не купите :) Но в рамках гарантии говорят бесплатно меняем чуть ли не саму кассу.
Также из интересного:
- они подтвердили, что интеграция именно на уровне кассы и яндекса, т.е. на стороне сайта ничего менять не нужно, что для меня явилось определяющим фактором.

Немного менять все равно придется - данные для чека передавать в Яндекс.Кассу.

Причем, что любопытно, я посмотрел документацию по передаче этих данных, и меня как-то очень сильно настораживает, что номенклатура товаров просто передается через форму и дальше безо всяких проверок уходит в чек, ОФД, налоговую. Продвинутому пользователю достаточно через какие-нибудь средства разработки поменять перед отправкой формы из магазина в Яндекс.Кассу нормальный список товаров на какие-нибудь фаллоимитаторы, и все это тупо уйдет в кассу, чек и далее. То-то будет веселье. Странный момент на самом деле с этой передачей данных для чека, непродуманный какой-то.

В конференции Яндекса по онлайн-кассам с участием представительницы Атола последняя сделала явный акцент (как во время доклада, так и во время ответов на вопросы), что речь в 2017 году идет только о пластиковых картах, другие способы платежа (конкретно, например, электронные кошельки) требуют онлайн-касс начиная с 2018 года. Почему - не объяснено и объяснения я найти нигде не могу. Но сказано было очень уверенно. Следствие из этих слов (если они найдут подтверждение): достаточно отключить прием пластиковых карт, и это на год отсрочит необходимость заморачиваться. Но, повторюсь, никаких детальных разъяснений нигде нет. Никто не смог разобраться с этим моментом?

neyara:
Вы наверняка ответили, что раньше вам касса была не нужна.
А она была нужна, если была оплата картами.

Я тоже прошел этот тест. Мне сказали, что касса не нужна до 2018 г., после того как я ответил "да" на вопрос оказываю ли я услуги населению (у меня оплата через Яндекс.Кассу за рекламные услуги, которые вроде как есть в классификаторе ОКУН). Но, видимо, лучше действительно запросить свою налоговую, как парой постов выше собрался сделать ILeA...

Здравствуйте. Меня, как и многих, тоже раздражает новый вид объявлений горизонтального Директа. Однако бесят в основном не большие картинки, а совершенно непредсказуемый размер шрифтов. Картинки - фиг бы с ними, но когда размер шрифта вообще никак не коррелирует с размером шрифта на сайте, это рушит внешний вид сильнее. Настройки размера шрифта во вкладке Директа RTB-блока, судя по всему, для нового дизайна не оказывают существенного влияния. Отсюда вопрос: друзья, есть ли какие-то методики добиться предсказуемого, а в идеале жестко заданного в pt/px размера шрифта для заголовка и текста объявления?

Всего: 127