1. Herzlich willkommen bei WPDE.org, dem grössten und ältesten deutschsprachigen Community-Forum rund um das Thema WordPress. Du musst angemeldet oder registriert sein, um Beiträge verfassen zu können.
    Information ausblenden

Wie können Informationen über Payment Gateways missbraucht werden

Dieses Thema im Forum "WooCommerce" wurde erstellt von Crak, 5. Januar 2021.

  1. Crak

    Crak Well-Known Member

    Registriert seit:
    29. März 2020
    Beiträge:
    77
    Zustimmungen:
    1
    Hallo Freunde!

    Da die API Key und auch der Secret Key im WP-Backend für alle ersichtlich ist, frage ich mich ob und wie diese Informationen missbraucht werden können?

    In meinem Shop haben immer mal wieder auch externe Freelancer Zugriff und bisher habe ich die Bezahlfunktionen deaktiviert bzw. den Secret Key und den API Schlüssel aus dem Backend entfernt, da ich kein Risiko eingehen möchte. Ein bekannter Freelancer meinte allerdings das mit diesen Informationen nicht viel gemacht werden kann, da am Ende das eigene Bankkonto verknüpft ist und Zahlungen deshalb immer in dem angegebenen Bankkonto ankommen und über den Secret Key nicht geändert werden können.

    Ich habe trotzdem ein ungutes Gefühl wenn Menschen (die ich nicht persönlich kenne) Zugang zu meinem Secret Key und den API Key haben, darum möchte ich hier im Forum fragen wie ihr das macht und welche Sicherehitsrisiken entstehen wenn diese Keys in fremde Hände gelangen?

    Vielen Dank für eine Antwort :)
     
  2. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.655
    Zustimmungen:
    118
    Ein Schlüssel ist ein Schlüssel. Hat jemand den Schlüssel, kann er dein Konto abrufen. Evtl. auch mehr, je nachdem was für die API erlaubt ist.
     
  3. Crak

    Crak Well-Known Member

    Registriert seit:
    29. März 2020
    Beiträge:
    77
    Zustimmungen:
    1
    Hab gerade mit Stripe telefoniert und mir wurde bestätigt das mit den Keys alleine kann man nicht viel anfangen. Die Keys könnten dafür verwendet werden von einem anderen Shop aus die Bezahlung auf mein Konto umzuleiten, da hätte ich überhaupt nichts dagegen :D

    Der Secret Key heißt zwar Secret Key, ist aber nicht "secret". Also der Geheimschlüssel muss nicht geheim gehalten werden, weil man mit dem Schlüssel nicht anfangen kann. Die wichtigen Zugangsdaten sind die zum Stripe Account und nicht die Verbindungsschlüssel.
     
  4. JABA-Hosting

    JABA-Hosting Well-Known Member

    Registriert seit:
    29. März 2016
    Beiträge:
    2.655
    Zustimmungen:
    118
    Bei PayPal kannst du zum Beispiel auch dein Kontostand abfragen mit der API.
     
  5. r23

    r23 Well-Known Member

    Registriert seit:
    9. Dezember 2006
    Beiträge:
    5.316
    Zustimmungen:
    174
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden
  1. Diese Seite verwendet Cookies, um Inhalte zu personalisieren, diese deiner Erfahrung anzupassen und dich nach der Registrierung angemeldet zu halten.
    Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Information ausblenden