Offen PayPal-IPN-Änderung: Spam oder echt? Und wenn echt, was tun?

[Hifi-Matze]

Ich habe gerade folgende Email bekommen. Zuerst hielt ich sie nur für Spam, ich vermute inzwischen aber, dass es keiner ist.

Guten Tag, [echter Name gelöscht)!
In einem Forumsbeitrag vom 18. Oktober 2011, haben wir angekündigt, dass wir die Anzahl der IP-Adressen für www.paypal.com erweitern, um die Leistung, Skalierbarkeit und Verfügbarkeit unserer Website zu verbessern. Als Teil dieses Übergangs planten wir die Unterstützung des HTTP 1.0-Protokolls ab 1. Februar 2013 einzustellen.
Wir möchten Sie darauf hinweisen, dass diese Änderung für manche Händler die IPN-Verifizierung (sofortige Zahlungsbestätigung) und das PDT-Verfahren (Zahlungsdatenübertragung) beeinträchtigt. Dies geschieht, wenn für die IPN- bzw. PDT-Skripte das HTTP 1.0-Protokoll verwendet wird, das nicht den Header "Host: www.paypal.com" im Request beinhaltet.
Was bedeutet das im Detail?
Alle eingehenden Anfragen benötigen ab dem 1. Februar 2013 einen "Host"-Header, der den HTTP 1.1-Spezifikationen entspricht. Dieser Header wurde für HTTP 1.0 nicht benötigt. IPN- und PDT-Skripte, die nach dem 1. Februar 2013 HTTP 1.0 verwenden, werden möglicherweise die Fehlermeldung "HTTP/1.0 400 Bad Request" erhalten. Aus diesem Grund können IPN-Benachrichtigungen nicht erfolgreich bestätigt werden oder PDT-Skripte können keine Transaktionsinformationen abrufen.
Erforderliche Maßnahmen vor dem 1. Februar 2013
Händler müssen Ihre IPN- und/oder PDT-Skripte aktualisieren, HTTP 1.1 verwenden und den "Host"-Header in dem IPN-Verifizierungsskript einfügen.
Beispiel:
ASP
//Set values for the request back
req.Method="POST";
req.Host="www.paypal.com";
req.ContentType="application/x-www-form-urlencoded";
Perl
$req=HTTP::Request->new('POST', 'https://www.paypal.com/cgi-bin/webscr');
$req->content_type('application/x-www-form-urlencoded');
$req->header(Host=> 'www.paypal.com');

PHP
// post back to PayPal system to validate
$header .="POST /cgi-bin/webscr HTTP/1.1\r\n";
$header .="Content-Type: application/x-www-form-urlencoded\r\n";
$header .="Host: www.paypal.com\r\n";

Java
HttpsURLConnection uc=(HttpsURLConnection) u.openConnection();
uc.setDoOutput(true);
uc.setRequestProperty("Content-Type","application/x-www-form-urlencoded");
uc.setRequestProperty("Host", "www.paypal.com");
Die PayPal-Sandbox wurde konfiguriert, um alle HTTP-Anfragen ohne "Host"-Header mit dem Fehlercode "HTTP 400 Error" abzulehnen. Händler können die Sandbox-Umgebung verwenden, um die Änderung der IPN- und PDT-Skripte zu testen.
Mehr Informationen zu PDT und IPN finden Sie unter http://www.paypal.com/pdt und http://www.paypal.com/ipn. Weitere Informationen zu dieser Änderung finden Sie unter https://www.paypal.com/mts.
Viele Grüße,
Ihr Team von PayPal

Was muss ich als JTL- Shop-Betreiber machen, um hier zu handeln? Ich habs noch nicht geschafft, mein Template auf 3.15 anzupassen und habe daher noch 3.12 in Betrieb. Reicht ein Update auf 3.15, um diese Vorgaben zu erfüllen?

 

[Einrad-Shop]

AW: PayPal-IPN-Änderung: Spam oder echt? Und wenn echt, was tun?

Habe die gleiche Mail und die gleiche Fragen.

 

[Hifi-Matze]

AW: PayPal-IPN-Änderung: Spam oder echt? Und wenn echt, was tun?

Okay, dann scheint es zumindest schonmal nicht an der 3.12 liegen

 

[AndrePiwonka]

AW: PayPal-IPN-Änderung: Spam oder echt? Und wenn echt, was tun?

Wenn man sich die PayPal Klasse im Shop 3.15 genauer anschaut, sieht man das der Shop die Alte-Methode mit HTTP 1.0 benutzt. Ich denke JTL wird das rechtzeitig umändern.

 

[david]

AW: PayPal-IPN-Änderung: Spam oder echt? Und wenn echt, was tun?

Hi,

die Änderung ist mit dem kommenden Update 3.16 drin (sind bloß 2 Zeilen, die in der Paypal-Class geändert werden mussten).

 

[XYZ]

AW: PayPal-IPN-Änderung: Spam oder echt? Und wenn echt, was tun?

Hi,

die Änderung ist mit dem kommenden Update 3.16 drin (sind bloß 2 Zeilen, die in der Paypal-Class geändert werden mussten).

Kannst Du die Änderungen, welche in Version 3.12 vorgenommen werden müssten, bitte hier preisgeben? Ich plane in absehbarer Zeit nicht, den Shop zu aktualisieren, da Version 3.12 völlig ausreichend ist und funktioniert, zudem gehen die Onlineumsätze stetig zurück, so das ein Update nicht lohnt.

 

[david]

AW: PayPal-IPN-Änderung: Spam oder echt? Und wenn echt, was tun?

Manuelle Anleitung:

Datei includes/modules/paypal/PayPal.class.php öffnen, folgende Zeile suchen:

$header .= "POST /cgi-bin/webscr HTTP/1.0\r\n";

und ersetzen durch

$header .= "POST /cgi-bin/webscr HTTP/1.1\r\n";

unter Content-Lenght die folgenden neuen Zeile einfügen:

$header .= "Host: www.paypal.com\r\n";
$header .= "Connection: Close\r\n\r\n";

 

[Renate]

AW: PayPal-IPN-Änderung: Spam oder echt? Und wenn echt, was tun?

Danke - sehr hilfreiche Info!

 

[david]

AW: PayPal-IPN-Änderung: Spam oder echt? Und wenn echt, was tun?

Wichtige Ergänzung:

$header .= "Connection: Close\r\n\r\n";

muss als letzte Header-Zeile eingefügt werden, damit die Verbindung wieder geschlossen wird. Anleitung in Post #7 habe ich ergänzt.

 

[dagoberto]

AW: PayPal-IPN-Änderung: Spam oder echt? Und wenn echt, was tun?

kann ich die änderung auch bei JTL2 vornehmen?

 

[dagoberto]

AW: PayPal-IPN-Änderung: Spam oder echt? Und wenn echt, was tun?

wenn ja wäre es so richtig?

// post back to PayPal system to validate
$header .= "POST /cgi-bin/webscr HTTP/1.1\r\n";
$header .= "Content-Type: application/x-www-form-urlencoded\r\n";
$header .= "Content-Length: " . strlen($req) . "\r\n\r\n";
$header .= "Host: www.paypal.com\r\n";
$header .= "Connection: Close\r\n\r\n";
$fp = fsockopen ('www.paypal.com', 80, $errno, $errstr, 30);

 

[casim]

AW: PayPal-IPN-Änderung: Spam oder echt? Und wenn echt, was tun?

jep

 

[maydo]

AW: PayPal-IPN-Änderung: Spam oder echt? Und wenn echt, was tun?

muss die änderung in 3.15 auch vorgenommen werden ?

Heute eine Erinnerungsmail von Paypal bekommen.

 

[david]

AW: PayPal-IPN-Änderung: Spam oder echt? Und wenn echt, was tun?

muss die änderung in 3.15 auch vorgenommen werden ?

nur dann, wenn du nicht vorhast bis spätestens zum 01.02.2013 auf 3.16 zu aktualisieren.
Man hat also noch knapp über 4 Monate Zeit, bis die Änderung bei Paypal zur Pflicht wird. Wer dann noch einen Shop 3.15 oder kleiner hat, kann einfach die Änderungen siehe Post #7 manuell durchführen.

 

[XYZ]

AW: PayPal-IPN-Änderung: Spam oder echt? Und wenn echt, was tun?

Also ich habe jetzt folgenden Block da stehen:

      // post back to PayPal system to validate
         $header .= "POST /cgi-bin/webscr HTTP/1.1\r\n";
         $header .= "Content-Type: application/x-www-form-urlencoded\r\n";
         $header .= "Content-Length: " . strlen($req) . "\r\n\r\n";
         $header .= "Host: www.paypal.com\r\n";
         $header .= "Connection: Close\r\n\r\n";
         $fp = fsockopen ('www.paypal.com', 80, $errno, $errstr, 30);

Seitdem gehen die Zahlungseingangstbestätigungen 2-3 fach an den Kunden raus und auch die Zahlung wird in eben dieser Anzahl gesetzt. Soeben habe ich über Paypal eine Rückzahlung an einen Kunden veranlasst und er bekam daraufhin nochmal eine über den Shop versendete Zahlungseingangsbestätigung, was stimmt hier nicht?

 

[david]

AW: PayPal-IPN-Änderung: Spam oder echt? Und wenn echt, was tun?

@xyz: das problem tritt eigentlich nur dann auf, wenn "Connection: Close" im Header fehlt. Kannst du bitte ein Ticket inkl FTP-Zugangsdaten erstellen, damit wir genauer nachschauen können?

 

[multi-offer]

AW: PayPal-IPN-Änderung: Spam oder echt? Und wenn echt, was tun?

Manuelle Anleitung:

Datei includes/modules/paypal/PayPal.class.php öffnen, folgende Zeile suchen:

$header .= "POST /cgi-bin/webscr HTTP/1.0\r\n";

und ersetzen durch

$header .= "POST /cgi-bin/webscr HTTP/1.1\r\n";

unter Content-Lenght die folgenden neuen Zeile einfügen:

$header .= "Host: www.paypal.com\r\n";
$header .= "Connection: Close\r\n\r\n";

Wir benutzen JTL für unseren Ebay- und Amazon Shop. Müssen in diesem Fall auch diese Änderungen durchgeführt werden? Oder betrifft es nur JTL-Shop Betreiber?
Grüsse aus Berlin
Michael

 

[Thomas Lisson]

AW: PayPal-IPN-Änderung: Spam oder echt? Und wenn echt, was tun?

Oder betrifft es nur JTL-Shop Betreiber?

exakt.

 

[multi-offer]

AW: PayPal-IPN-Änderung: Spam oder echt? Und wenn echt, was tun?

exakt.

Danke für die schnelle Antwort.

 

[smcdonald]

AW: PayPal-IPN-Änderung: Spam oder echt? Und wenn echt, was tun?

Hi,

kann mir jemand sagen, wie ich die Änderungen im JTL Shop 2.19 vornehmen kann? Ich finde dort keine Dateien die irgendwie ähnlich den oben genannten sind.
Nur eine mit einem paypal Form.

Besten Dank schon mal,
Stephan