ECommerce: Unterschied zwischen den Versionen
Zeile 85: | Zeile 85: | ||
// liefert diverse Informations-String: | // liefert diverse Informations-String: | ||
// <u>[PHP-Index] Bedeutung </u> | // <u>[PHP-Index] Bedeutung </u> | ||
// [ | // [00] Datenbankname | ||
// [ | // [01] OrgaMon Versions-Nummer | ||
// [ | // [02] IBO Versions-Nummer | ||
// [ | // [03] Indy Versions-Nummer | ||
// [ | // [04] PDF Pfad (public) (Parameter [[Systemeinstellungen#PDFPathShop]]) | ||
// [ | // [05] Musik Pfad (Parameter [[Systemeinstellungen#MusicPath]]) | ||
// [ | // [06] Pfad der Rechnungen (Parameter [[Systemeinstellungen#htmlPath]]) | ||
// [ | // [07] Pfad der Artikel-Bilder (Icons und Logos auf externer Site) (Parameter [[Systemeinstellungen#BilderURL]]) | ||
// [ | // [08] TPicUpload Versions-Nummer (Bilder hochladen) | ||
// [ | // [09] TMS FlexCel Versions-Nummer (XLS Dokument-Ausgabe) | ||
// [ | // [10] jcl Versions-Nummer | ||
// [ | // [11] jvcl Versions-Nummer | ||
// [ | // [12] Artikel-Bilder-Pfad (Parameter [[Systemeinstellungen#ShopArtikelBilderURL]]) | ||
// [ | // [13] SynEdit Versions-Nummer | ||
// [ | // [14] VCLZip Versions-Nummer | ||
// [ | // [15] XMLRPC Versions-Nummer | ||
// [ | // [16] XML Parser Versions-Nummer | ||
// [ | // [17] Datenbank-Benutzer | ||
// [ | // [18] Datenbank-Passwort (verschlüsselt über privaten Key) | ||
// [ | // [19] SYSDBA-Passwort (verschlüsselt über privaten Key) | ||
// [ | // [20] verwendete gds32.dll Versions-Nummer | ||
// [ | // [21] PNG - Image Versions-Nummer | ||
// [ | // [22] Kontext | ||
</source> | </source> | ||
<br> | <br> | ||
=== Kontext === | === Kontext === | ||
<source lang="delphi"> | <source lang="delphi"> |
Version vom 24. Februar 2011, 18:16 Uhr
OrgaMon biete eine vielzahl von Kopplungsmöglichkeiten, die es dem Kunden oder Geschäftspartner ermöglichen auf Informationen und Daten zuzugreifen und Prozesse anzustossen.
- Lieferanten
Lieferanten können ihre systeme mit OrgaMon koppeln, und beispielsweise die Liste der noch zu liefernden Artikel abrufen
- Kunden
Kunden können ebenfalls uber diese Schnittstelle Zahlungsverpflichtungen oder alte Belege einsehen.
Die B2B Fähigkeiten des OrgaMon ermöglichen es Dienstleistungen des OrgaMon von aussen zu benutzten. Dazu wird im Moment, die von jedem System beherschte XML-RPC Schnittstelle benutzt. Der benutzte TCP/IP Port ist frei einstellbar.
Funktions Überblick
Der OrgaMon verwendet einen betriebswirtschaftlichen Kernel. In diesem Teil des Quelltextes (eCommerce) sammelt sich die Verarbeitungslogik für alle wesentlichen Buchungsvorgänge (z.B. Zahlungseingang, Warenzugang, Versandbuchung usw.). Eine ausgewählte Zusammenstellung von Kernel-Funktionen sind via XMLRPC von aussen zugänglich. Somit ist es dem TWebShop möglich grosse Teile der Logik via XMLRPC dem OrgaMon zu überlassen.
SSL Ablagen
http://www.nurdletech.com/https.html
http://www.securityfocus.com/infocus/1820
CodeSign
Das erweitern einer EXE Datei um ein Certifikat.
Buying the code signing certs from Thawte will cost you $200 per year. Renewals cost ~ $153 US. Verisign charges $400 per year. Obviously I went with Thawte. The certs are the same, as all CA's have their root certs for codesigning enabled, this really isn't the case with SSL (https:// certificates) so you have to pick wisely when buying ssl cert.
With the cert you can sign as many products as you wish, as long as they are from the company/organization which purchased the code signing cert.
You are not required to renew the certificate, as long as you timestamp the program. You basically connect to a server that does timestamping and it stamps the certificate/program with a hardcoded date. If the certificate expires and there is a valid stamp on it then the certificate does not warn it is expired to the end users downloading your files. But you will need to renew the cert if you want to re-stamp new builds/updates of your files. You can use the freely available versign timestampign service to stamp your code with (instructions to do it are included in microsofts code signing sdk).
Information on how to sign code is at: http://msdn.microsoft.com/library/default.asp?url=/workshop/security/authcode/signing.asp
You can download the files (signcode.exe) at: http://www.microsoft.com/downloads/details.aspx?FamilyID=2B742795-D0F0-4A66-B27F-22A95FCD3425&displaylang=en
Probably want to get the x86 executable as it's unlikely most people here are generating alpha executables (64 bit).
You can get more information and purchase the certs from Thawte at:
http://www.thawte.com/codesign/index.html
Look at the Microsoft Authenticode Code Signing Certificate.
As to questions about stealing a cert. It's possible but very very hard to do. Thawte sends you a .pvk file (private key file) and a certificate file. Both files are required to generate the certificate embedded into the exe. The hash of this certificate is unique to each executable and if the exe is modified in anyway the cert is nullified. Also you have the option when purchasing the code signing cert if you want to password protect it. This allows even more security as if anyone does get a hold of the cert and private key then they still need the password to sign with.
Also the process to obtain a cert can take some time. It took me roughly 8 hours to receive it. You cannot as an individual in the US get a code signing cert. You must be a registered business with your state, country and they will require you to fax them documentation proving your business is valid. Then they will check your domain, all certs are tied with a domain - typically business domain so they check the whois records. As long as the REGISTRANT OF RECORD on the domain matches your legal company name EXACTLY then you are fine. For instance my legal company name is PGWARE LLC, thus thta is what had to be listed in teh registrant information for the domain; if I had just PGWARE then Thawte will decline my application.
Finally you have to have a business phone number where they can contact you to verify the purchase. They will attempt to obtain a phone number from you by the use of phone directory service in your city, if you are not listed then they will attempt other means to find a phoone number to contact you at. If they are not able to find any number then you need to fax them a phone bill that shows your company name on it, and your telephone number on it. They will then call you and ask you basic questions on who ordered the certificate and details you entered when ordering - this allows them to confirm you are the person who really is getting the cert. If you have no phone number at all for your business fear not you can send in a notorized letter signed by a notary which states you give permission and authorization to distribute a certificate to your business; then fax it in to them.
As long as you have everything in order and all documents ready to be faxed you can get the cert within a day's time. They do all these checks to make sure you are who you say you are. Also they want ot make it seem like they are actually doing something for that $200 you're sending them.
If any of you guys are interested in doing it and have any problems along the way just message me here or email me and I'll lend some assistance.
---
Julian the cert is signed into the exe by the user of the signcode.exe program. It adds an additional section into the exe header which contains the cert.
When usign the codesign.exe you can pass commandline params to generate the digital certificate within the exe. When you right click on a exe that is signed , click the PROPERTIES and there is a new tab within the properties sheet of the executable entitled DIGITAL CERTIFICATE.
Here is how to sign:
signcode.exe -spc mycert.spc -v mykey.pvk -n "My Program" -i http://www.url.com -$ commercial -t http://timestamp.verisign.com/scripts/timstamp.dll MYPROG.EXE
mycert.spc is the file Thawte/verisign sends to you, it is the certificate. MyKey.pvk is the private key thwate/verisign also sends to you which contains your private key and password (if a password was set). Note you cannot change the password without buying a new cert.
"My Program" is just a friendly name you can give your program and is displayed in the Security box when shown to a user downloading you file. http://www.url.com is the url to your website, this lets a user click on your program name (friendly name) and it takes them to the website. Finally you include the optional timestamp (you should timestamp, so when the certificate expires the file is still signed). Then you pass the filename/path to your exe that needs to be signed.
XMLRPC API
BasePlug
BasePlug():array of string;
// BasePlug enthält wichtige Umgebungsinformationen für den konnektierten
// WebShop. So erfährt der WebShop z.B. über BasePlug auf welche Datenbank
// er konnektieren soll. Oder wo Musik-Downloads zu finden sind.
//
// liefert diverse Informations-String:
// <u>[PHP-Index] Bedeutung </u>
// [00] Datenbankname
// [01] OrgaMon Versions-Nummer
// [02] IBO Versions-Nummer
// [03] Indy Versions-Nummer
// [04] PDF Pfad (public) (Parameter [[Systemeinstellungen#PDFPathShop]])
// [05] Musik Pfad (Parameter [[Systemeinstellungen#MusicPath]])
// [06] Pfad der Rechnungen (Parameter [[Systemeinstellungen#htmlPath]])
// [07] Pfad der Artikel-Bilder (Icons und Logos auf externer Site) (Parameter [[Systemeinstellungen#BilderURL]])
// [08] TPicUpload Versions-Nummer (Bilder hochladen)
// [09] TMS FlexCel Versions-Nummer (XLS Dokument-Ausgabe)
// [10] jcl Versions-Nummer
// [11] jvcl Versions-Nummer
// [12] Artikel-Bilder-Pfad (Parameter [[Systemeinstellungen#ShopArtikelBilderURL]])
// [13] SynEdit Versions-Nummer
// [14] VCLZip Versions-Nummer
// [15] XMLRPC Versions-Nummer
// [16] XML Parser Versions-Nummer
// [17] Datenbank-Benutzer
// [18] Datenbank-Passwort (verschlüsselt über privaten Key)
// [19] SYSDBA-Passwort (verschlüsselt über privaten Key)
// [20] verwendete gds32.dll Versions-Nummer
// [21] PNG - Image Versions-Nummer
// [22] Kontext
Kontext
Kontext: string;
// Jeder XMLRPC Server generiert beim Start einen einzigartigen
// Kontext-String (Kontext-ID). Er ist 9 Zeichen lang. Er kann Ziffern
// und Buchstaben enthalten. Er wird per Zufall generiert und es gibt
// 3433683820292512484657849089281 verschiedene Kontext-IDs. Solange die Instanz
// eines XMLRPC-Servers läuft bleibt der Kontext unverändert. Ein
// konnektierter Shop kann an diesen Kontext diverse Variabeln binden,
// die so lange gültig sind, solange von der Kontext-Funktion
// immer genau dieser Kontext-ID zurückgegeben wird. Geeignete Beispiele für
// solche Zwischenzpeicherung ist z.B. :
// a) die String-Liste von "BasePlug"
// b) RIDs von Ausgabearten, z.B. der RID der Art "MP3" die man von der
// Datenbank mit Hilfe eines SQL Skripts ermittelt hat.
// kurz gesagt: solange der Kontext bleibt ist auch das Caching
// vieler Werte legitim.
// Sinn und Zweck: Entlastung des XMLRPC, der Datenbank und
// Geschwindigkeitszuwachs für das Gesamtsystem an sich.
ArtikelSuche
ArtikelSuche(SuchStr: string): array of integer; { ARTIKEL_R }
// Suchmaschine für artikelsuche
ArtikelPreis
ArtikelPreis(AUSGABEART_R, ARTIKEL_R:integer): double;
// liefert den Preis des Artikels in dieser Ausgabeart
// kostenlos = 0; //
// cPreis_vergriffen = -1.0; // Artikel nicht mehr lieferbar.
// cPreis_aufAnfrage = -2.0; // keine Preisinformation verfügbar
Land
Land(LAND_R: integer): string;
// liefert die Landesbezeichnung (als ISO-Kürzel)
KontoInfo
KontoInfo(PERSON_R: integer): double;
// liefert den Kontostand des Kunden (zu zahlen!)
// erzeugt als Nebeneffekt die aktuelle "Mahnung.html"
BestellInfo
BestellInfo(PERSON_R: integer): integer;
// liefert den Lieferrückstand des Lieferanten (Erwartete Mengen!)
// erzeugt als Nebeneffekt die aktuelle "Bestellung.html"
Bestellen
Bestellen(PERSON_R: integer): integer;
// erstellt aus dem Einkaufswagen des Kunden eine tatsächliche
// Bestellung. Die (neue) Beleg-Nummer wird zurückgegeben.
//
Buchen
Buchen(BELEG_R, PERSON_R : integer): integer;
//
// a) BELEG_R>0
//
// führt bei einem bereits existierende Beleg (BELEG_R) dazu, dass alles direkt lieferbare
// sofort verbucht wird und in den Status "geliefert" gesetzt wird. Es wird ein
// Rechnungsbeleg erstellt, und die Ware wird ausgeliefert betrachtet.
//
// BELEG_R = 0 führt zur Vertragsanwendung bei diesem Kunden
//
// Rückgabewert:
//
// -1 : Es ist ein Fehler aufgetreten! Mehr Info dazu in der EREIGNIS Tabelle
// 0 : Eine direkte Auslieferung ist nicht nötig oder möglich! Mehr Info dazu in der EREIGNIS Tabelle
// 1 : Es wurde erfolgreich eine Auslieferung durchgeführt! In der Regel keine Infos in der EREIGNIS Tabelle
//
// b) (BELEG_R<1) und (PERSON_R>0)
//
// der aktuelle Arbeitszeitbeleg der angegeben Person wird erstellt.
//
ArtikelVersendetag
ArtikelVersendetag(AUSGABEART_R, ARTIKEL_R:integer): integer;
//
// GELBE STATI: (0,NULL)
// NULL=wie 0
// 0=keine Info über die Verfügbarkeit vorhanden
//
// ROTE STATI: (1..9)
// 1=entgültig vergriffen
// 2=zur Zeit vergriffen, Neuauflage jedoch ungewiss
// 3=zur Zeit vergriffen, Neuauflage jedoch sicher
// 4..9= bisher ohne Bedeutung
//
// GRÜNE STATI: (10..100)
// 10=heute lieferbar (=ist unbegrenzt am Lager, ohne Mengenangabe)
// 11=morgen lieferbar (=wurde z.B. mit dieser Zusage bereits bestellt und kommt morgen)
// 12=in 2 Tagen lieferbar... (=ist z.B. in dieser Zeit zu beschaffen)
// 13=in 3 Tagen lieferbar...
// 14= ... usw ...
//
// GRÜNE STATI: (101..20000100)
// 101= heute lieferbar (=ist am Lager, Lagermenge=1)
// 102= heute lieferbar (=ist am Lager, Lagermenge=2)
// 103= heute lieferbar (=ist am Lager, Lagermenge=3)
// ... usw.
//
// GRÜNE STATI:
// >20020101= Konkretes Lieferdatum (z.B. Erscheinungsdatum!)
// 20031003= am 03.10.2003 lieferbar (da es z.B. an diesem Tag erscheint)
// (Vorbestellungen natürlich möglich)
//
Verlag
Verlag(VERLAG_R:integer): string;
// Names des Verlages zu einem Verlags-RID
// ACHTUNG: aus geschichtlichen Gründen sind VERLAG_R zumeist als PERSON_R(s)
// zu verstehen!
Versandkosten
Versandkosten(PERSON_R:integer): double;
// Liefert passend zum "Kunden,Umfang des Einkaufswagen,Versandart des Kunden" die
// passenden Versandkosten. Im Moment als dummy immer 3,33 ?.
ArtikelInfo
ArtikelInfo(AUSGABEART_R, ARTIKEL_R, LAND_R, VERLAG_R) : double, string;
// Multi-Info-Funktion für weitere Informationen zu Artikel-Daten
// Ergebnisse: Preis, "ISO-Landeskennzeichen" "-" "Verlag"
ArtikelRabattPreis
ArtikelRabattPreis(AUSGABEART_R,ARTIKEL_R,PERSON_R) : array of double;
//
// wie Artikel-Preis, soll jedoch bei Kunden mit Rabatt-Code verwendet werden,
// diese Funktion liefert noch die Rabatt-Zahl dazu!
//
PersonNeu
PersonNeu : integer; { PERSON_R }
//
// Eine neue Person wird angelegt. Der (neue) RID wird als Ergebnis ge-
// liefert. Der Webshop kann nun weitere Eintragungen machen.
//
Ort
Ort(PERSON_R) : string; { Adress-Ortsangabe }
//
// Zu der angegebenen Person wird die Orts-Angabe zusammengestellt.
// Dazu wird Land, Plz, Ortsname und Ortsteil landesspeziefisch
// kombiniert.
Rabatt
Rabatt(PERSON_R) : boolean;
// Zu der angegebenen Person wird ermittelt, ob sie Rabatte bekommt.
// Wenn ja wird true, andernfalls false zurückzugeben.
Preis
Preis(AUSGABEART_R,ARTIKEL_R,PERSON_R) : array of double;
//
// Ersetzt in Zukunft die beiden Methoden abu.ArtikelPreis und abu.ArtikelRabattPreis
// Falls der Kunde Rabatte bekommt, was beim Login mit abu.Rabatt geprüft wird,
// wird der Funktion der wirkliche PERSON_R übergeben, andernfalls 0.
// Rückgabewerte sind der Preis und der Rabatt (in Prozent, 0 bei PERSON_R == 0).
//
// result[0] Preis in Euro
// result[1] Rabatt in %
// result[2] Netto-Flag: ("1" = JA | "0" = NEIN)
// result[3] Netto-wie-Brutto-Flag: ("1"= JA | "0" = NEIN)
//
Miniscore
Miniscore(PERSON_R,ARTIKEL_R) : boolean;
//
// Beantragt das Versenden von Miniscores des Artikels ARTIKEL_R
// an den Benutzer PERSON_R.
// Zum Versenden wird die eMail-Vorlage "PDF" benutzt.
//
LoginInfo
LoginInfo(PERSON_R : integer) : boolean;
//
// Beantragt das Versenden einer eMail mit den
// Zugangsdaten für den Login für diese Person.
// ggf. wird das PAsswort neu gesetzt.
// Zum Versenden wird die eMail-Vorlage "LOGIN" Benutzt.
//