E-commerce in flash

[jeck]

Ciao, ho una richiesta da parte di un mio cliente, realizzare un intero ecommerce (solo lato utente) in flash. Vuole in pratica tutto quello che si farebbe in php, riportato in flash. Problemi di programmazione non ne ho ne da un lato (flash) ne dall'altro (php), non ho problemi neanche di tempo e di costi, quindi per la maggior parte delle cose sto a posto. Quello che mi preme è la sicurezza, di tutto, sia della registrazione utente, della visualizzazione dei dati, dello scambio di informazioni ecc, ma soprattutto la transazione per il pagamento. Io con flash sono rimasto un pò indietro, in questi ultimi anni ho fatto pochissimi progetti e di piccolissime dimensioni, sono rimasto a flash 8, e per quanto riguarda la sicurezza non è il massimo, ma forse oggi qualcosa è cambiato.
So che enigma_79 ha realizzato un ecommerce in flash, come hai gestito la sicurezza? le transazioni le hai fatte da flash, oppure hai fatto tutto da php?
Voi come fareste?
Premetto che il cliente vuole fare il restiling del sito, e vuole un ecommerce, l'attuale sito è in flash e lo rivuole in flash, quindi anche l'ecommerce. Ho cercato di far capire che è uno sbattimento, ma non ne ha voluto sapere. Se rifiuto di farlo in flash probabilmente perdo il cliente

[crescenzo]

beh ho fatto diversi siti con carrello in flash...almeno lato front..lato back usato asp e xml e db
anche se alla fine il pagamento avviene in contrassegno in tutti quelli che ho fatto..quindi senza carta di credito ...anche se poi quest'ultima parte non la gestisci con flash in quanto con un carrello sai l'importo totatale della spesa e a quel punto ti colleghi con la pag di paypol o banca sella ed effettui li il pagamento ..cioè nn lo fai tu in definitiva...

per la sicurezza di certo flash non è il massimo ...ma x cose abbastanza semplici può essere usato

anche le altre cose registrazione eventuali visualizzazione degli ordini ...uso asp lato back che comunica con flash ..nel tuo caso php ...anche qui diciamo che asp fa tutto flash legge solo i dati...

se ne vuoi vedere qualcuno di questi siti...anche se devi essere registrato per poter effetuare un acquisto....
http://www.sports-nutrition.it/

[jeck]

Originariamente inviato da crescenzo
beh ho fatto diversi siti con carrello in flash...almeno lato front..lato back usato asp e xml e db
anche se alla fine il pagamento avviene in contrassegno in tutti quelli che ho fatto..quindi senza carta di credito ...anche se poi quest'ultima parte non la gestisci con flash in quanto con un carrello sai l'importo totatale della spesa e a quel punto ti colleghi con la pag di paypol o banca sella ed effettui li il pagamento ..cioè nn lo fai tu in definitiva...

Certo, la transazione non avviene mai da flash, ci si appoggia sempre a qualcuno.
Io spedirei da flash a php un identificativo di sessione per riconoscere l'utente (previo login) e per riconoscere il suo carrello, che sarà presente nel db, in pratica flash fa solo la visualizzazione che arriva da php.

Originariamente inviato da crescenzo

per la sicurezza di certo flash non è il massimo ...ma x cose abbastanza semplici può essere usato

anche le altre cose registrazione eventuali visualizzazione degli ordini ...uso asp lato back che comunica con flash ..nel tuo caso php ...anche qui diciamo che asp fa tutto flash legge solo i dati...

se ne vuoi vedere qualcuno di questi siti...anche se devi essere registrato per poter effetuare un acquisto....
http://www.sports-nutrition.it/

Di quello che ho paura è la sicurezza, è ovvio che fa tutto php, ma è sempre flash che richiede le informazioni a php, e se qualcuno riesce a trovare il link php? Non vorrei che il cliente una volta consegnato il lavoro mi chiama spesso per problemi di visualizzazione o altro. Comunque metterò tutto nel preventivo, e poi valuterà lui.

[crescenzo]

>Di quello che ho paura è la sicurezza, è ovvio che fa tutto php, ma è sempre flash che richiede le informazioni a php, e se qualcuno riesce a trovare il link php?

certo flash a livello di sicurezza come dicevo io prima nn è il max ..ma alcune cose tipo ad es i link a pagine che mostrano anche il prezzo ad es x utente loggato ....si può pensare di prendere da un file esterno anche quelli e quindi anche se il tipo smanettone riesce a scaricare il file swf e lo decompila nn troverà mai il link nel flash.....

oppure forse ancora meglio creare un cookie con flash nel momento che l'utente si logga e quindi effettuare un controllo su questo x la richiesta delle pagine riservate quindi anche se si punterà alla pagina direttamente essa non restituirà niente....




ps
certo è che qualsiasi sistema alla fine può essere bucato...

[jeck]

Originariamente inviato da crescenzo
certo flash a livello di sicurezza come dicevo io prima nn è il max ..ma alcune cose tipo ad es i link a pagine che mostrano anche il prezzo ad es x utente loggato ....si può pensare di prendere da un file esterno anche quelli e quindi anche se il tipo smanettone riesce a scaricare il file swf e lo decompila nn troverà mai il link nel flash.....

Come fai a non far vedere i link ai file php? se qualcuno riesce a ricreare il fla, i link ai file php li vedono sempre

Originariamente inviato da crescenzo
ps
certo è che qualsiasi sistema alla fine può essere bucato...

Lo so, ma bisogna cercare di rendere la vita + difficle possibile.

[crescenzo]

Come fai a non far vedere i link ai file php? se qualcuno riesce a ricreare il fla, i link ai file php li vedono sempre

certo che si può sempre bucare ma se ad es fai il login e nella risposta di questa pagina php ci metti il nome del file in cui risiedono i link alle pagine che ti servono ...tipo un file di configurazione ...nel file flash nn ci sara il nome ma solo il nome della variabile data come risposta nel login..

Lo so, ma bisogna cercare di rendere la vita + difficle possibile.

ovvio mo ci stavo appunto riflettendo con te su questa cosa ...x vedere se ci sono strade + tortuose da far percorrere allo smanettone del caso...

[and80]

Ma mettendo pure il caso che lo smanettone riesca a trovare il link per il file php, con questo file cosa ci fa, se questo è già stato reso sicuro dal php? Sarebbe equivalente ad una pagina html con un form che spedisce i dati alla pagina php. Dati sensibili come la password possono essere passati per un hash anche in flash prima di essere spediti a php (considerando che nel db ad esempio ci sia la password che era già stata "hashata" all'inserimento, in php si andrebbe solo a fare un controllo di uguaglianza) e si potrebbe gestire la persistenza con un cookie come già suggerito, o meglio con una sessione, così ogni volta che l'utente riaccede in altra sessione alla pagina, sarà costretto a riloggarsi per effettuare altri acquisti.
Di sicuro fare un ecommerce in flash è meno facile che farlo in html, ma la sicurezza non cambia poi più di tanto.

[jeck]

ok, grazie a tutti, siete stati molto chiari. Credo che farò in questo modo.
La sessione di login la faccio nel db, come sto facendo ora in php, flash richiama sempre una pagina php in questo modo file.php?s=var_ses_php&p=4 dove var_ses_php è l'id di sessione che arriva da php, e p è il codice/pagina che bisogna richiamare da php, potrei mettere un doppio controllo su php con un cookies nel caso riescono a trovare id di sessione.
Per il login già lo faccio l'has della password nel db, quindi devo solo decidere se passarla già hashata da flash