osCommerce France : Accueil Forum Portail osCommerce France Réponses aux questions Foire aux contributions

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> Paypal et sa feuille de route pour 2016 -- Changements conséquents en prévision !, Encore une façon de se prendre la tête, nous les développeurs :o
SaphyraK
posté 4 Feb 2016, 12:44
Message #1


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 93
Inscrit : 6-November 12
Membre no 31715



Amis développeurs,

Bonjour!

Voilà, donc, qui est au courant de la feuille de route des Marchands utilisant Paypal pour 2016 ?

Si cela ne vous parle pas, sâchez que j'ai reçu cela:
https://www.paypal-knowledge.com/infocenter...mp;locale=fr_FR


ET:
(reçu début du mois de février .......)

Il s'agit de modifications techniques qui peuvent nécessiter des mises à jour de votre système.

Citation
Maintenant

- Les points de terminaison de l'environnement de test PayPal et tlstest.paypal.com sont disponibles.
- De nouvelles adresses IP SFTP sont disponibles.
- L'environnement de test fournit des certificats d'identifiants API aux nouvelles normes (2 048 bits, SHA-256).


14 janvier 2016

- Après cette date, les points de terminaison API de l'environnement de test prendront en charge uniquement les nouvelles normes (HTTP/1.1, TLS 1.2 et certificats SHA-256).
- www.sandbox.paypal.com acceptera donc uniquement HTTPS pour les envois IPN.


31 janvier 2016

- Le site en production commencera à fournir des certificats d'identifiants API aux nouvelles normes (2 048 bits, SHA-256).


29 février 2016

- Les points de terminaison de l'environnement de test seront supprimés.


17 mars 2016

- De nouvelles adresses IP SFTP s'ajouteront à DNS pour reports.paypal.com.


14 avril 2016

- Les anciennes adresses IP SFTP seront supprimées de DNS pour reports.paypal.com.


12 mai 2016

- Les anciennes adresses IP SFTP ne fonctionneront plus.


17 juin 2016

- Après cette date, les points de terminaison API en production passeront aux nouvelles normes (HTTP/1.1, TLS 1.2 et certificats SHA-256).


30 septembre 2016

- Les envois IPN sur www.paypal.com autoriseront uniquement HTTPS.


1er janvier 2018

- Tous les certificats d'identifiants API devront être passés aux nouvelles normes.




Je me suis un peu rencardé sur la question, et apparemment, concrètement, en fait (si je ne dis pas de coquilles), on a juste besoin d'installer sur le serveur un certificat SSL (soit donc d'avoir des pages en HTTPS) désormais sur l'ensemble du site oscommerce.
(nouvelles normes au niveau de la Loi)


MAIS..

Est-ce que OSCommerce est capable d'utiliser des SSL, je veux dire, les variables ne risquent pas de perdre des informations?

Et puis, finalement, le sandbox IPN, n'existera bientôt plus sous l'adresse actuelle, il sera le 29 février passé en mode SSL, ce qui dans un sens permet de bien tester.

MAIS..

Cette histoire de SSL sur oscommerce.. MOI...
Ca ne me plaît pas..
Un site vieux de 2005 passer sous un fonctionnement protégé par SSL.. Hum... Je sens les problèmes à l'horizon aussi gros que les deux tours jumelles..
(<troll on>Ah.. non, ce problème est résolu concernant les deux tours jumelles<troll off>)

Vos ressentis, avez-vous fait des tests?
Des vérifications, des expériences?



Avoir un moyen d'échanger nos retours serait intéressant pour rendre compatible le module Paypal IPN actuel pour notre bon vieux OSCOMMERCE.

Toutefois..

On aura aussi très certainement besoin de tester la stabilité du SSL sur oscommerce.

Qui tourne sous SSL, aviez-vous eu besoin de modifier ou remplacer des trucs ?




Merci d'avance, et bonne journée!

Ce message a été modifié par SaphyraK - 4 Feb 2016, 12:52.


--------------------
We get Everything, we are developpers, we are masters of the universe !
(just kidding.. **sigh**, just developpers...)
Go to the top of the page
 
Havock
posté 4 Feb 2016, 15:55
Message #2


Ceinture bleue OSC
Icône de groupe

Groupe : Membres
Messages : 894
Inscrit : 4-February 04
Membre no 1926



Bonjour SaphyraK,

Je suis justement en train de regarder ça.

Je ne suis pas sur qu'il faille passer en SSL car ce qui est indiqué c'est :

Citation
Les envois IPN sur www.paypal.com autoriseront uniquement HTTPS


donc ça peut se comprendre comme appeler https://www.paypal.com/cgi-bin/webscr et pas http://www.paypal.com/cgi-bin/webscr

J'ai contacté un technicien Paypal pour lui demander des détails. Je te tiens informé.


--------------------
L'indispensable est en cours de traitement,
L'urgent sera traité demain,
Le normal sera traité plus tard,
Le reste on vera ...
En conclusion : les journées sont trop courtes.
Utilisateur de MS2.2 Max 1.5 - OSC-Affiliate 1.09 - Admin With Access Levels 2.1 - Meta Tag Controller/ Generator - Credit/Gift Voucher/Coupons 5.05 - Download Controller v5.3 - X-Sell MS2 - WYSIWYG HTML Editor for Admin 1.7 - Dynamic Mo Pics - Loginbox Best - Order logging before payment processing - User Tracking - Faster Page Loads, Less DB queries - Plus plein de modifs perso :-)
Go to the top of the page
 
SaphyraK
posté 4 Feb 2016, 17:35
Message #3


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 93
Inscrit : 6-November 12
Membre no 31715



re Havock,


Ok, merci, et si vraiment cela suffirait d'appeler des pages https (sans avoir de certificats SSL) ça serait très chouette, sinon ça ferait encore une dépense.
Un certificat SSL n'étant pas gratuit, et est à payer par abonnement..

Ce qui me ferait peur comme dit c'est pas le prix de l'abonnement, mais plutôt le maintient de OSCOMMERCE dans ce mode SSL.


Ainsi, je te remercie de me tenir informé, ça aussi c'est sympa smile.gif


--------------------
We get Everything, we are developpers, we are masters of the universe !
(just kidding.. **sigh**, just developpers...)
Go to the top of the page
 
Havock
posté 4 Mar 2016, 16:10
Message #4


Ceinture bleue OSC
Icône de groupe

Groupe : Membres
Messages : 894
Inscrit : 4-February 04
Membre no 1926



Bonjour SaphyraK,

Petite mise au point après recherches.

Si on se base sur ces posts : https://www.paypal-community.com/t5/About-B...ght/true#M17399, c'est ce que je supposait, c-a-dire qu'il faut appeler https://www.paypal.com/cgi-bin/webscr et pas http://www.paypal.com/cgi-bin/webscr et non avoir un site en ssl

Pour la mise à jour TLS1.2 cf cette page : https://github.com/paypal/TLS-update si ta version d'OpenSSL utilisée par CURL est au moins 1.0.1.c ça devrait être bon. Ils fournissent une ligne de commande qui te permet de vérifier que c'est bon


Pour le HTTP 1.1 j'ai installé sous chrome une extension (HTTP Headers) qui permet de vérifier que ton serveur est ok.
Pour le script php, si tu utilises Paypal IPN, tu peux adapter facilement le script existant en te basant sur ce post : http://www.johnboy.com/blog/http-11-paypal...xample-php-code et celui-là : Visitez mon site web

J'ai fait des essais avec la sandbox et tout fonctionne chez moi. smile.gif

Pour info (ça peut servir à d'autres) : Je me suis pris la tête avec le script php pour la partie qui n'utilise pas curl mais fsockopen. Mon script fonctionnait sans aucun problème avec un "POST /cgi-bin/webscr HTTP/1.0\r\n", mais plantait quand j'utilisais "POST /cgi-bin/webscr HTTP/1.1\r\n".
En fait, avec HTTP 1.1 on utilise des connexions persistantes, or si une connexion est ouverte avec fsockopen() et n'est pas fermée par le serveur le feof se bloque. C'est pour cette raison qu'il faut fermer la connexion par un "Connection: close" dans le header.
J'avais bien ajouté l'instruction $header .= "Connection: close" . "\r\n\r\n"; dans mon script mais elle n'était pas prise en compte et je ne comprenais pas pourquoi. En fait, la ligne précédant celle que j'avais ajoutée ($header .= "Content-Length: " . strlen($req) . "\r\n\r\n";) se terminait par un double line break ("\r\n\r\n") et ce double line break indiquait la fin du header (la ligne suivante avec le Connection: close n'était donc pas prise en compte). En remplaçant le double line break ("\r\n\r\n") par un simple line break ($header .= "Content-Length: " . strlen($req) . "\r\n";) le problème disparait. smile.gif
Deux jours de recherches pour m'apprendre à mieux lire mon code biggrin.gif

En passant un gros zéro pointé au technicien de paypal que j'avais contacté par email. Contacté directement le 02 Février, il ne m'a appelé que le 29 Février (3 jours après que j'ai envoyé un email au commercial responsable de notre compte pour lui demander qu'un technicien me contacte enfin). angry.gif
En outre ce technicien savait que Paypal procédait à des modifications techniques, mais on sentait bien le type pas vraiment au courant. Tout ce qu'il m'a dit (mais sans aucune certitude de sa part et ça se sentait bien) c'est qu'il faudrait probablement que je passe mon site en SSL (ce qui est faux). Quand je lui ai demandé si tous les sites utilisant Paypal devraient passer en SSL, il m'a dit que oui (toujours d'une voix pas convaincue). Pour voir sa réaction je lui ai dit que si ça se confirmait j'envisagerais de me passer des services de Paypal, le type n'a même pas réagit blink.gif On sentait vraiment le technicien compétent et motivé tongue.gif
Ce qui m'a le plus amusé, c'est quand j'ai reçu l'email de paypal récapitulant mon ticket Paypal. Le technicien avait écrit :
Citation
Notre échange a permis de préciser la portée de l’URL https pour les postback des IPN en Sandbox.

Il vaut mieux lire ça qu'être aveugle biggrin.gif biggrin.gif


--------------------
L'indispensable est en cours de traitement,
L'urgent sera traité demain,
Le normal sera traité plus tard,
Le reste on vera ...
En conclusion : les journées sont trop courtes.
Utilisateur de MS2.2 Max 1.5 - OSC-Affiliate 1.09 - Admin With Access Levels 2.1 - Meta Tag Controller/ Generator - Credit/Gift Voucher/Coupons 5.05 - Download Controller v5.3 - X-Sell MS2 - WYSIWYG HTML Editor for Admin 1.7 - Dynamic Mo Pics - Loginbox Best - Order logging before payment processing - User Tracking - Faster Page Loads, Less DB queries - Plus plein de modifs perso :-)
Go to the top of the page
 
SaphyraK
posté 25 Apr 2016, 16:28
Message #5


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 93
Inscrit : 6-November 12
Membre no 31715



Bonjour Havock!


Un grand merci pour avoir partagé tes recherches, adresses, samples de codes avec moi, et aussi tes expériences, cela va m'être d'une grande utilité !
C'est un comble quand même que ces techniciens Paypal.. ne savent même pas de quoi s'agit la mise à jour...

Tss.. Parfois... L'entraide, il n'y a que ça de vrai, et ça se confirme souvent en ce sens!


Bref, bref, je m'égare, donc pas de passage en SSL!

D'un côté c'est un soulagement, mais je pense qu'un jour on y sera obligé, ne serait-ce que pour rassurer (Il n'y a que la foi qui sauve) les clients.

Encore merci, passe une bonne fin d'après-midi !


--------------------
We get Everything, we are developpers, we are masters of the universe !
(just kidding.. **sigh**, just developpers...)
Go to the top of the page
 
Havock
posté 26 Apr 2016, 08:06
Message #6


Ceinture bleue OSC
Icône de groupe

Groupe : Membres
Messages : 894
Inscrit : 4-February 04
Membre no 1926



Bonjour SaphyraK,

Tout le plaisir est pour moi smile.gif

C'est vrai que l'entraide est ce qu'il y a de mieux.

Pour le SSL obligatoire, notre ami google finira bien par nous l'imposer de facto.



--------------------
L'indispensable est en cours de traitement,
L'urgent sera traité demain,
Le normal sera traité plus tard,
Le reste on vera ...
En conclusion : les journées sont trop courtes.
Utilisateur de MS2.2 Max 1.5 - OSC-Affiliate 1.09 - Admin With Access Levels 2.1 - Meta Tag Controller/ Generator - Credit/Gift Voucher/Coupons 5.05 - Download Controller v5.3 - X-Sell MS2 - WYSIWYG HTML Editor for Admin 1.7 - Dynamic Mo Pics - Loginbox Best - Order logging before payment processing - User Tracking - Faster Page Loads, Less DB queries - Plus plein de modifs perso :-)
Go to the top of the page
 
SaphyraK
posté 2 Jun 2016, 13:12
Message #7


Ceinture jaune+ OSC
Icône de groupe

Groupe : Membres
Messages : 93
Inscrit : 6-November 12
Membre no 31715



Bonjour tout le monde, voici différentes nouvelles informations toutes chaudes en direct de PayPal :


========================================================
Nouvelles dates limites concernant les mises à niveau de sécurité.
========================================================

La sécurité est au cœur de nos priorités, mais établir des partenariats efficaces est également essentiel. Récemment, nous vous avons fait part de nos projets de mise en œuvre d'une série de mises à niveau de sécurité nécessaires. Vous êtes nombreux à nous avoir répondu que vous ne pourriez pas effectuer ces mises à niveau dans les délais que nous avions indiqués. Vos remarques sont extrêmement utiles, car nous souhaitons collaborer au mieux avec vous. Ainsi, nous avons décidé de reporter à mi-2017 les dates de trois des mises à niveau :

  • Mise à niveau vers TLS 1.2 et HTTP/1.1
  • Mise à niveau HTTPS pour les envois IPN
  • Abandon de la méthode GET pour les API classiques

Nos points de terminaison doivent passer à SHA-256 en 2016, conformément aux normes du secteur.

Si vous aviez prévu d'effectuer les mises à niveau avant les dates initialement définies, nous vous recommandons de ne pas les remettre à plus tard. Nous ajoutons simplement un délai supplémentaire afin d'aider les partenaires et les marchands qui en ont besoin. En procédant à ces modifications maintenant, vous sécurisez les informations de vos clients et protégez vos systèmes.


--------------------
We get Everything, we are developpers, we are masters of the universe !
(just kidding.. **sigh**, just developpers...)
Go to the top of the page
 

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



RSS Version bas débit Nous sommes le : 22nd November 2017 - 10:02
Ce site est déclaré auprès de la commision Nationale
de l'Informatique et des Libertés (déclaration n°: 1043896)