Hallo, ich checke gerade die “false positives” im mod-security2 ( http://www.modsecurity.org/ )und hier fällt vor allem bei Bezahlen mittels PayPal Express auf, dass anscheinend die /engine/connectors/paypalexpress/ipn.php keinen User Agent sendet: [24/Jun/2011:12:36:17 +0200] [www.meinedomain.de/sid#7f0ccc1fad68][rid#7f0ccc651d20][/engine/connectors/paypalexpress/ipn.php][2] Warning. Operator EQ matched 0 at REQUEST\_HEADERS. [file "/etc/apache2/modsecurity2/modsecurity\_crs\_21\_protocol\_anomalies.conf"] [line "48"] [id "960009"] [msg "Request Missing a User Agent Header"] [severity "WARNING"] [tag "PROTOCOL\_VIOLATION/MISSING\_HEADER"] Alles nicht so wild, aber würde es ausreichen, ab Zeile 34 den Header zu erweitern? Wie müßte die Zeile aussehen? /\*Post back to PayPal system to validate\*/ $header .= "POST /cgi-bin/webscr HTTP/1.0\r\n"; $header .= "Content-Type: application/x-www-form-urlencoded\r\n"; $header .= "Content-Length: " . strlen($req) . "\r\n\r\n"; //$fp = fsockopen ('ssl://www.paypal.com', 443, $errno, $errstr, 30); $fp = fsockopen ('ssl://'.PAYPAL\_IPNURL, 443, $errno, $errstr, 30);
Äh, mir ist zwar mod_security nicht bekannt, aber die IPN von PayPal ist die “instant payment notification”. Das ist ein vom Kundenbrowser unabhängiger Kanal über den PayPal Deinen Shop informatiert das eine Zahlung eingegangen ist. Ich bezweifle das Du da einfach einen UserAgent einfügen kannst da wie gesagt das System von PayPal die URL in Deinem Shop aufruft. Ist es nicht möglich in mod_security eine Ausnahme für PayPal einzufügen, das er scheint mir als der richtigere Ansatz, im Vergleich zum Umprogrammieren das Shops. Optional kannst Du die IPNs in PayPal auch ausschalten, nur das würde ich nicht machen, wegen der oben genannten vorzüge. Soweit meien Gedanken.