Détail du message 87748.2

Message numéro 2 dans le sujet Retour d'Ogone en annulation puis en validation sur la même commande.

  • 87748.2 en réponse à 87748.1 écrit par djoo_9

    07/08/2015 09:54


    Georges Njock-Bôt
    Rang : Membre
    Bonjour,

    je n'ai encore jamais utilisé le mode Ogone sur un de mes sites.
    Pour autant, il y a des principes qui me semblent devoir être valables pour
    tous les modes de paiement.

    Quelques remarques/pistes donc :
    djoo_9 a dit :
    Sauf que le client ne veut pas refaire le processus de commande et fait un 'retour' via son navigateur

    Je ne comprens pas bien cette étape. Suite au retour navigateur, est-il toujours sur une page intermédiaire du côté Ogone ou alors est-il à nouveau sur la page de paiement du site RBSChange ?

    djoo_9 a dit :
    La il entre une carte valide et Ogone accepte le paiement.

    A mon sens, il y a quelque chose de fondamentalement incorrect dans cette partie de process. En principe s'il s'agit d'un vrai retour navigateur, il devrait y avoir un token permettant de détecter que l'internaute tente de resoumettre un formulaire précédemment soumis. Ceci est généralement détecté par la plupart des navigateurs récents. Et dans le pire des cas, côté Ogone un mécanisme devrait permettrait de détecter une tentative de resoumission d'un même instance de formulaire avec des données différentes, autrement c'est pour moi une faille de sécurité. Pour info cela n'est pas possible par exemple avec le connecteur Atos SIPS.

    djoo_9 a dit :
    Comment est-il possible de gérer cette situation ?


    Au vu de ce qui a été dit plus haut, il convient déjà de vérifier les points suivants :
    • La page côté Ogone est-elle bien en https ? (la réponse me semble évidente mais bon sait-on jamais...)

    • Le formulaire posté...l'est-il via la méthode HTTP POST ?

    • S'il s'avère qu'Ogone permet effectivement qu'un tel cas de figure se produise, il faudrait envisager d'en parler aux développeurs du module en question (si ce n'est déjà fait). Ou alors envisager la mise en place d' un système de rapprochements bancaire qui vérifie toutes les transactions a postériori et corrige les éventuelles erreurs (j'ignore cependant si Ogone propose une API permettant de le faire à l'instar du composant DIAG de l'API Atos SIPS). Sinon en dernier recours (et je n'aime pas ce type de réponse mais bon), changer de connecteur bancaire.

    "La connaissance s'acquiert par l'expérience, tout le reste n'est que de l'information"

    Albert Einstein
 
1429 membres
Aucun membre connecté