ম্যাজেন্টো - পেপাল - এসএসএলভি 3: 3 রা ডিসেম্বর পেপাল এসএসএল 3 বন্ধ করে দিলে এটি কাজ করবে?

15

আমি পেপালের কাছ থেকে কেবলমাত্র একটি ইমেল পেয়েছি কারণ পোডেল দুর্বলতার কারণে তারা এসএসএলভি 3 এর প্রদানের এপিআই ব্যবহার করে 3 শে ডিসেম্বর ২০১৪ থেকে তাদের সমর্থন বন্ধ করবে।

এটি কেবল সেখানে রেখে দিতে চেয়েছিলেন এবং কেউ জিজ্ঞাসা করেছেন কিনা এটি কিনা পেপ্যাল পেমেন্ট প্রো / হোস্টেড সলিউশন / এক্সপ্রেস পেমেন্ট ইন্টিগ্রেশনকে ম্যাজেন্টো ১.৯.০.০ (সর্বশেষ) এ প্রভাব ফেলবে কিনা?

যদি তাই হয় - কারওর ধারণা আছে যে আমি ম্যাজেন্টোতে স্ট্যান্ডার্ড পেপাল মডিউলগুলি ঠিক করার বিষয়ে কীভাবে যেতে পারি?

ধন্যবাদ!

paypal

— লগইন আইডি
সূত্র

স্ট্যাক ওভারফ্লোতে ইতিমধ্যে এটি সম্পর্কে বেশ কয়েকটি থ্রেড রয়েছে। মূলত, আপনার কেবলমাত্র টিআরএস এর মাধ্যমে পেপালের এপিআই-এর সাথে সিআরএল-এর মাধ্যমে সংযোগ স্থাপন করতে হবে - তবে এটি ট্রান্সপোর্ট করে।

— বেনমার্ক

হাই বেনমার্কস .. আমি এটির জন্য অনুসন্ধান করেছি তবে সত্যিকারের স্ট্যাক ওভারফ্লো সাইটে নয়, কেবল ম্যাজেন্টো অংশ। আমি আরও পরীক্ষা করতে পারছি কিনা তা দেখার জন্য আমি কেবল এই থ্রেডগুলির সন্ধানের চেষ্টা করেছি কিন্তু সেগুলি খুঁজে পাচ্ছি না, আপনি কি আমাকে কিছু লিঙ্ক দিতে পারেন? ধন্যবাদ!

— লগইনডে

2

যেহেতু আমি এটি বুঝতে পেরেছি (এবং দয়া করে আমি ভুল হলে আমাকে সংশোধন করুন) এটি আসলে আপনার হোস্টিং সংস্থা (যদি কোনও শেয়ার্ড প্ল্যাটফর্মে থাকে) বা আপনি নিজে ভিপিএস বা উত্সর্গীকৃত সার্ভারে থাকেন তবে উদাহরণস্বরূপ যে এসএসএলভি 3 অক্ষম করতে হবে। আপনার ওয়েব হোস্টটি এটি করা উচিত, যদি তারা ইতিমধ্যে না করে থাকে এবং আপনি যদি নিজের সার্ভারের জন্য দায়বদ্ধ হন তবে আমি বিশ্বাস করি আপনি নিজের httpd.conf সংশোধন করতে এবং নিম্নলিখিতগুলি যুক্ত করতে পারেন;

SSLProtocol ALL -SSLv2 -SSLv3

এটি ভি 2 এবং ভি 3 অক্ষম করবে এবং আমি বিশ্বাস করি যে টিএলএস হ'ল স্ট্যান্ডার্ড ফ্যালব্যাক সংযোগ।

এটি যদি আপনি অন্য কিছু ব্যবহার করে থাকেন তবে অ্যাপাচি কনফিগারেশনটি কোডটি কিছুটা পরিবর্তিত হতে পারে তবে আশা করি এটি আপনাকে কিছুটা সহায়তা করবে তবে আমি এই বিষয়ে অন্যান্য লোকদের ইনপুট শুনে কৃতজ্ঞ হব।

— টনি পোলার্ড
সূত্র

আপনার তথ্যের জন্য, আপনি যদি আপনার ওয়েব সার্ভারটি বর্তমানে SSLv2 বা SSLv3 এই সাইট ব্যবহার সক্ষম করেছে দেখতে পরীক্ষা করতে পারেন foundeo.com/products/iis-weak-ssl-ciphers/test.cfm

— টনি পোলার্ড

ahuh! টনির জন্য ধন্যবাদ - আমি মনে করি এটি এখন আমার কাছে বোধগম্য। সুতরাং যেভাবে ম্যাজেন্টো কোডিং করা হয়েছে তার সাথে কিছুই করার নেই তবে হোস্টিং সংস্থাটি যে কোনও এসএসএলকে কনফিগার করেছে (বা এখন এসএসএল ব্যবহার করছে না) সেভাবে ব্যবহার করার মতো সবকিছু রয়েছে।

— লগইনডে

টনি, আপনি এটি সামনে ফিরে পেয়েছেন। আপনি ইনবাউন্ড অনুরোধগুলির জন্য সার্ভার সাইড এসএসএলভি 3 উল্লেখ করেছেন, সার্ভার আউটবাউন্ড অনুরোধগুলির সূচনা নয়। পেপাল ইমেলটি পরেরটির সাথে সম্পর্কিত।

— চকো-লু

হ্যাঁ বেশ অনেক লগইনড, সিম্যানটেক একটি চেকিংয়ের সরঞ্জামও প্রকাশ করেছে। আমি আমার উপরে থাকা ভিপিএসে উপরে বর্ণিত পরিবর্তনটি সম্পাদন করেছি এবং এটি এখন উভয় চেককেই পাসড করেছে যাতে আমার কোনও সমস্যা না হওয়া উচিত।

— টনি পোলার্ড

চোকো-লু, যদি আমার সার্ভারটি আউটবাউন্ড অনুরোধ শুরু করে তবে এসএসএলভি 3 সক্ষম না করে, তবে এটি সঠিকভাবে ব্যবহার করতে পারে না? এছাড়াও ব্রাউজারগুলি এবং অর্থ প্রদানের গেটওয়েগুলি এসএসএলভি 3 এর জন্য সমর্থন বন্ধ করে দিচ্ছে, তাই এটি কি সমস্ত দিক দিয়ে এটি বন্ধ করে দেয় না? আমি বিশ্বাস করি না যে ম্যাজেন্টো এমনকি কোনও নির্দিষ্ট প্রোটোকল ব্যবহার করে তবে আমি নিশ্চিত হয়েছি যে সবকিছু নিরাপদ আছে। আপনার যদি সময় থাকে তবে আপনার চিন্তাভাবনাগুলি জানতে আগ্রহী হন।

— টনি পোলার্ড

1

এই কোডটি ফেলে দিন:

<html>
<head>
</head>
<body>
<?php
$url = "ssl://www.sandbox.paypal.com";
$fp = fsockopen ($url, 443);
if (is_resource ($fp)) {
    echo "not affected";
}
else {
    echo "affected";
}
?>
</body>
</html>

আপনার ম্যাজেন্টো সাইটের মূলটিতে পেপাল-টিএলএস-টেস্ট.এফপি নামের একটি ফাইল রয়েছে। তারপরে আপনার ব্রাউজারটিকে http://www.yoursite.com/paypal-tls-test.php এর মতো এটি নির্দেশ করুন । স্ক্রিপ্টটি পেপাল স্যান্ডবক্সের সাথে সংযোগ স্থাপনের চেষ্টা করে যা আরএসএসভি 3 সমর্থন করে না। যদি এটি একটি সফল সংযোগ তৈরি করে তবে এটি একটি ভাল ইঙ্গিত যা আপনি ঠিক থাকবেন। যদি না হয়, আপনার কাজ করার আছে। এটি অবশ্যই ধরে নিয়েছে যে আসল প্রোটোকলটি কোথাও ম্যাজেন্টোতে হার্ড-কোডড নয় (স্ক্রিপ্টটি সংযোগের জন্য আপনার সার্ভারের ক্ষমতা পরীক্ষা করে))

— র্যান্ডাল হার্টজলার
সূত্র

এই স্ক্রিপ্টটি আমাকে "প্রভাবিত নয়" বলছে যখন poodlescan.com বলছে "এই সার্ভারটি SSL v3 প্রোটোকল সমর্থন করে।" => নমনীয়।

— পাই দ্য নাম্বার

0

এটি সমস্ত সিআরএল কানেক্টে রয়েছে। আপনার যা যাচাই করা দরকার তা হ'ল আপনার সার্ভারগুলির ক্লায়েন্ট-সাইড কার্ল লাইব্রেরি টিএলএস সমর্থন করে (যাতে এটি ফ্যালব্যাক করতে পারে)।

টিএলএসকে বাধ্য করার জন্য নিম্নলিখিত সংজ্ঞা সহ একটি সাধারণ পিএইচপি সিআরএল স্ক্রিপ্ট তৈরি করুন,

curl_setopt($curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

যদি সফল হয় তবে আপনার উদ্বিগ্ন হওয়ার কিছু নেই। যদি তা না হয় তবে আপনার সম্ভবত লাইবকারল এবং ওপেনসেল এর পুনরায় সংকলন প্রয়োজন

— Choco-পায়খানা
সূত্র

0

আমি যতদূর বলতে পারি, আমার ক্লায়েন্টের প্রাচীন ম্যাজেন্টো 1.4.1.1 সেটআপে, মূল পেপ্যাল যোগাযোগগুলি (কার্লের মাধ্যমে) কোনও নির্দিষ্ট প্রোটোকল জোর করে না, তাই এসএসএলভি 3 এর জন্য পেপাল ড্রপ সমর্থন করার সময় কার্ল টিএলএস ব্যবহার করা উচিত।

আমার ধারণা আমি 3 শে ডিসেম্বরে অবশ্যই এটি সন্ধান করব।

— উইজার পাওয়া
সূত্র

এটি ইতিমধ্যে এখনই টিএলএস ব্যবহার করা উচিত, তবে এটি এমআইটিএম এর পক্ষে ঝুঁকিপূর্ণ হয়ে গেছে যা টিএলএস থেকে এসএসএলভি 3 এ রোলব্যাক করতে বাধ্য করেছে, যা ভেঙে গেছে ... 12/3 এ, সার্ভার পক্ষটি এসএসএলে রোলব্যাক প্রত্যাখ্যান করবে। যদি সব সম্ভব আপনি আপনার ক্লায়েন্ট পাশ থেকে রোলব্যাক অনুমতি দেয় না ঠিক করতে চান এখন সুরক্ষা প্রদান না হওয়া পর্যন্ত পেপ্যাল অবশেষে তাদের পার্শ্ব সংশোধন করা হয়েছে।

— ব্রায়ান নোব্লাচ

0

আমি নিম্নলিখিত লাইনটি যুক্ত করেছি:

কার্ল_সেটপ্ট ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

একটি পরীক্ষা পিএইচপি স্ক্রিপ্ট মধ্যে। এটি একটি ব্রাউজারের মাধ্যমে কার্যকর করার পরে ফলাফল:

কার্ল_সেটপ্ট ($ curl_request, CURLOPT_SSLVERSION, CURL_SSLVERSION_TLSv1);

এটা কি ঠিক আছে? আমি কি আমার কার্ল 7.33.0 সংস্করণ এবং ডিসেম্বরের তৃতীয় পরে পেপাল দিয়ে কাজ করতে পারি? আমি অনুমান হ্যাঁ!

শুভেচ্ছা জেজে

— user16279
সূত্র

0

সুতরাং আমার পেপাল অ্যাকাউন্ট ম্যানেজার আজ আমাকে কল করে এবং আমাকে বলে যে আমার ওয়েবসাইটগুলি এসএসএল ৩.০ / পোডল ব্যবহার করছে এবং ৩.৩ ডিসেম্বর স্থানান্তরের পরে কাজ করবে না

তারা আমাকে এই সমস্ত নথিতে ইঙ্গিত করে যা মূলত বলে যে আমি যদি বিকাশের স্যান্ডবক্স সার্ভারে কল করতে পারি এবং একটি গ্রহণযোগ্য প্রতিক্রিয়া পেতে পারি তবে সবকিছু ঠিকঠাক হওয়া উচিত।

আমি কোড বা সার্ভার কনফিগার একেবারে কিছুই পরিবর্তন করেছি। আমি ডেভলপমেন্ট স্যান্ডবক্স সার্ভারে পরীক্ষা করেছি এবং সবকিছু ঠিকঠাক হয়ে যায়। ম্যাজেন্টো ভের 1.4.1.0

এর অর্থ কি ডিসেম্বর 3 এ সবকিছু ঠিক হওয়া উচিত?

দ্রষ্টব্য, আমার সমস্ত ওয়েবসাইটগুলি https://www.poodlescan.com/ এর মাধ্যমে চলতে চলতে এখনও আমাকে নীচের বার্তাগুলি দেয়

"এই সার্ভারটি SSL v3 প্রোটোকল সমর্থন করে supports" "এই সার্ভারটি SSL v2 প্রোটোকল সমর্থন করে supports আপনার এই প্রোটোকলটি সত্যই অক্ষম করা উচিত।"

কোন সাহায্যের ব্যাপকভাবে প্রশংসা হবে।

— আলভিন
সূত্র

এর অর্থ হল যে আপনার সাইটটি ইতিমধ্যে টিএলএস করতে সক্ষম, তবে মাঝারি আক্রমণে এমন একজন ব্যক্তির পক্ষে ঝুঁকিপূর্ণ যা আপনাকে এসএসএলে নামিয়ে দেয় এবং তারপরে ডেটা স্ট্রিমটি ক্র্যাক করে। অন্য জিনিসটি আপগ্রেড করা হলে আপনার জিনিসগুলি ভাঙবে না, তবে আপনিও নিরাপদ নন।

— ব্রায়ান নোব্লাচ

0

আপনি অ্যাপাচের httpd.conf সম্পাদনা করুন এবং নিম্নলিখিত কোড যুক্ত করুন:

SSLHonorCipherOrder On
SSLProtocol -All +TLSv1

আপনার যদি ভিপিএস বা উত্সর্গীকৃত সার্ভার থাকে তবে আপনি ডাব্লুএইচএম এর মাধ্যমেও এটি করতে পারেন:

পরিষেবা কনফিগারেশন -> অ্যাপাচি কনফিগারেশন -> সম্পাদক অন্তর্ভুক্ত করুন -> প্রাক প্রধান অন্তর্ভুক্ত করুন এ যান

এবং উপরের দুটি লাইন যুক্ত করুন।

তারপরে আপনি পেএসপাল স্যান্ডবক্সের সাথে সংযোগ করতে পারবেন যাতে আপনাকে পরীক্ষা করতে এসএসএলভি 3 অক্ষম করা হয়েছে, বা আপনি তার উত্তরে প্রস্তাবিত কোড র‌্যান্ডাল হার্টজলার যুক্ত করতে পারেন।

আমি উপরোক্ত নিজেই করেছি এবং এটি ভাল কাজ করে।

— মাইক
সূত্র