Suchergebnisse

Zitat von gritsch: „$is_sandbox setzt du weder auf true noch false. das receipt kannst du doch hier hochladen oder? “ Oh stimmt, das ist bei rausnehmen des Receipt-Tokes abhanden gekommen. Eigentlich sieht es so aus: Quellcode (1 Zeile)Ich habe jetzt alles zum Laufen bekommen. Aus dem Receipt wird ein Token generiert, dieses an den Server geschickt, der wiederum das Token an Apple sendet und das vollständige Receipt zurückbekommt, insofern es echt ist. Vielen Dank allen hier für die tolle Unters…

Zitat von gritsch: „Zitat von DKCode: „Was meint ihr zu meinem Code in Antwort 32 & 33? Ist das so der richtige Weg oder würdet ihr das ganz anders machen? Entdeckt ihr Fehler oder mögliche Probleme? “ Du hast hier keinen code der das receipt validiert und das ist im prinzip der einzig wichtige code. “ Wie? Ich habe den StoreManager der mir das Receipt ausliest, dieses wird dann (später) an den Server gesendet. Im Code oben kopiere ich das manuell ins PHP-Script. Das PHP-Script oben schickt dies…

Was meint ihr zu meinem Code in Antwort 32 & 33? Ist das so der richtige Weg oder würdet ihr das ganz anders machen? Entdeckt ihr Fehler oder mögliche Probleme?

Zitat von matz: „und noch einmal in Swift talk.objc.io/episodes/S01E57-certificate-pinning “ Danke !

Zitat von NSObject: „Zitat von DKCode: „Zitat von NSObject: „Zitat von NSObject: „Hast du eine Idee? Danke dir! “ Für die Transportverschlüsselung TLS mit Key Pinning / Certificate Pinning.Für die Autorisierung ein Challenge-Response-Verfahren. Oder einfach wie von Mattes vorgeschlagen. “ Das klingt professionell, aber ich kann leider mit den Begriffen so gar nichts anfangen “ Certificate and Public Key PinningPinning Cheat Sheet Challenge-Response Authentication for Dummys P.S. Ein Video in deu…

Der StoreManager managed den In-App-Kaufprozess. Aktuell bin ich soweit, dass ich in der Konsole das Receipt auslesen kann, allerdings erst bei einem Neustart der App nach dem Kauf, was natürlich falsch ist. Führe ich einen Testkauf aus erhalte ich bei Neustart der App das Receipt in base64 packe ich dieses dann in mein PHP Script: Quellcode (34 Zeilen)Dann bekomm ich diese Antwort vom Server: SandboxInvalid receipt. Status code: 21002 Anscheint ist mein base64-Receipt falsch oder aber es ist na…

Zitat von gritsch: „Zitat von DKCode: „genau das probiere ich schon eine ganze Weile, aber ich bekomme das Receipt weder anzeigt noch gesendet. Wie gesagt das ist meine erste In-App-Kauf App seit bitte nachsichtig “ Dann sucht man aber nicht nach einer schlechteren Lösung sondern nach seinem Fehler. Und zu sagen "es funktioniert nicht" bringt gar nix wenn man hilfe benötigt. Man zeigt eventuell einen code-schnipsel der nicht funktioniert (inklusive eingabe-parameter und fehlermeldungen)... “ Ja …

Zitat von NSObject: „ Zitat von NSObject: „Hast du eine Idee? Danke dir! “ Für die Transportverschlüsselung TLS mit Key Pinning / Certificate Pinning.Für die Autorisierung ein Challenge-Response-Verfahren. Oder einfach wie von Mattes vorgeschlagen. Das klingt total professionell aber ich kann mit den Begriffen leider so gar nichts anfangen “ Das klingt professionell, aber ich kann leider mit den Begriffen so gar nichts anfangen

Zitat von MyMattes: „Zitat von DKCode: „Du sagst es! So ist zumindest der Plan und ich hoffe, dass das Validieren per PHP irgendwann bei mir funktioniert. “ Ich bin nicht sicher, vielleicht etwas überlesen zu haben, aber reduziert sich Dein Vorgehen nicht auf die folgenden Schritte:1. User nimmt IAP vor 2. App empfängt ein Receipt von Apple 3. Deine App schickt das Receipt an Deinen Server 4. Dein Server kommuniziert mit dem Apple-Backend, um das Receipt zu überprüfen 5. Bei Erfolg wird auf dem …

Zitat von gritsch: „Und warum nicht der einfache schritt wie beschrieben mit überprüfung der transaktion (wenn Apple das schon anbietet). “ Weil ich nach einem Plan B suche während der einfache Schritt noch nicht funktioniert. Wenn ich eins mittlerweile mitbekommen habe, dann, dass man bei der APP-Entwicklung immer einen Plan B haben sollte

Was meint ihr denn zu dieser Idee: 1. User klickt Button 2 Call zur API mit der Anfrage nach Token - GeräteID für Push wird übertragen 3. App zeigt ein Eingabefeld für Token 4. User erhält Token per Push und gibt diesen ein 5. Token und die Userdaten (POST-Variablen) werden an die API gesendet und wenn der Token stimmt, wird der Datenbankeintrag ausgeführt Mich stört, dass der User diesen Zwischenschritt machen muss, aber so wäre es dann auf jeden Fall abgesichert, oder nicht?

Zitat von matz: „Zitat von NSObject: „Zitat von DKCode: „Moin NSObject, danke für deine Unterstützung! Die Programme kannte ich noch gar nicht, aber erschreckend wie einfach es ist den Verkehr mitzuschneiden. “ Basiswerkzeuge. Sollte man kennen.Zitat von DKCode: „Hat irgendjemand vielleicht eine Idee, wie ich den Kaufprozess anders aufbauen könnte, um dem Problem mit dem Mitlesen der Daten aus dem Weg gehen zu können? “ Wie sieht denn dein bisheriger Prozess aus?Zitat von DKCode: „Es wäre mir ei…

Zitat von NSObject: „Zitat von DKCode: „Moin NSObject, danke für deine Unterstützung! Die Programme kannte ich noch gar nicht, aber erschreckend wie einfach es ist den Verkehr mitzuschneiden. “ Basiswerkzeuge. Sollte man kennen. “ Ja man lernt ja nie aus Zitat von NSObject: „ Zitat von DKCode: „Hat irgendjemand vielleicht eine Idee, wie ich den Kaufprozess anders aufbauen könnte, um dem Problem mit dem Mitlesen der Daten aus dem Weg gehen zu können? “ Wie sieht denn dein bisheriger Prozess aus? …

Zitat von gritsch: „Zitat von DKCode: „Es wäre mir eigentlich völlig egal,s das jemand die Verbindung mitliest, wenn nicht der Sinn der App dadurch komplett zerstört werden würde. Daher hoffe ich auf eure Unterstützung! Vielen Dank! “ Das Mitlesen kann dir ja egal sein, du musst nur dafür sorgen dass niemand solch gültige events senden kann. Dazu schickst du die IAP-receipts beim request mit und validierst den dann am server. Wenn er valide ist fügst du die daten ein, andernfalls gibst du einfac…

Zitat von NSObject: „Eine URL ist öffentlich und Datenverkehr kann man mitschneiden, verändern und wieder einspielen. Sieh Dir mal mitmproxy, Charles, wireshark, bettercap an. “ Moin NSObject, danke für deine Unterstützung! Die Programme kannte ich noch gar nicht, aber erschreckend wie einfach es ist den Verkehr mitzuschneiden. Hat irgendjemand vielleicht eine Idee, wie ich den Kaufprozess anders aufbauen könnte, um dem Problem mit dem Mitlesen der Daten aus dem Weg gehen zu können? Es wäre mir …

Zitat von gritsch: „Wenn deine Software auf fremder Hardware läuft, wirst du das nie vollständig verhindern können außer Apple gibt dir für die In-App-Käufe daten welche du dann bei Apple überprüfen kannst (also ob der kauf stattgefunden hat und für deine App und diese funktion ist). von AIP hab ich aber absolut keine Ahnung. “ Stimmt ja, anscheint gibt es die Möglichkeit per PHP einen In-App-Kauf zu verifizieren. Wie das genau funktioniert habe ich noch nicht ganz verstanden, aber ich glaube da…

Zitat von gritsch: „du musst prüfen dass es gültig ist und dass es von LetsEncrypt ist (AllInkl ist keine CA). Unmöglich ist es damit nicht (jailbreak...) aber macht es schon mal viel schwerer als einfach nur seinen proxy dazwischen zu hängen. “ Ok das werde ich dann noch einmal bei All-Inkl prüfen danke für die Erklärung! Zitat von gritsch: „ Edit: du kannst natürlich noch zusätzlich deine daten mit einem hardgecodeten wert salzen und hashen. Der Server verarbeitet die Daten dann nur wenn die h…

Zitat von gritsch: „Du musst dann einfach sicherstellen dass das cert gütlig und von LE ist. Ansonsten kann jemand sein eigenes selfsigned cert verwenden um die verbindung mitzulesen. “ Ah ok verstehe, dass sollte dann von All-Inkl wohl gültig sein. Ich kenne mich mit den Zertifikaten leider so gar nicht aus, aber so wie ich dich verstehe heißt das, wenn das Zertifikat gültig ist, ist es unmöglich ausgehende Verbindungen aus der App zum Server mitlesen? Sprich es ist unmöglich rauszufinden, welc…

Zitat von gritsch: „https verwenden und das zertifikat in der app überprüfen (erfordert natürlich auch dass du weist welchen zertifikatherausgeber du in den nächsten jahren verwenden wirst). “ Hey gritsch, vielen Dank für den Tip! Also Https benutze ich bereits. All-Inkl (Hoster) bietet die Möglichkeit LetsEncrypt einzubinden oder zu verwenden. Aber wie meinst du das "in der app überprüfen"? Würde ich dann nicht nur prüfen, ob die Verbindung von der App zum richtigen Server stattfindet? Viele Gr…

Moin zusammen, ich bastel gerade an einer ersten App mit In-App-Käufen. Der In-App-Kauf-Prozess war überraschend einfach implementiert, aber ich jetzt bin ich an einem Punkt wo ich nicht weiter komme und hoffe, dass ihr einen Tip habt. Es geht darum, dass wenn ein User einen In-App-Kauf tätigt, soll die App nach erfolgreicher Bezahlung Daten per PHP in eine MySQL Datenbank schreiben. Die Verbindung zur Datenbank ist bereits fertig, aber ich mache mir Sorgen über die Sicherheit dieser Verbindung,…