Como lidar com URLs de 2FAs por trás de uma rede restrita


4

Eu tenho um aplicativo que usa um gateway de pagamento de um banco local ( Banco A ). O aplicativo está por trás de uma rede restrita (não foi até o hit Wannacry Ransomware).

Neste caso, a rede só permitiu pedidos de Banco A domínio, que é o único domínio de terceiros que meu aplicativo acessa. O problema surge quando eu tento usar um VISA ou MASTERCARD de um cartão de crédito / débito emitido por um Banco C com 2FA ativado. Esses cartões são redirecionados para outra página em que o 2FA é tratado e essas re-indicações significam que o domínio é alterado e, eventualmente, bloqueado pela rede (firewall ou proxy ou ambos, ou qualquer outra coisa que eu não tenha muita ideia).

Agora, o cara da rede de meus clientes me pede as URLs de domínio para poder conceder acesso a esses recursos. Mas eu explico a ele que não tenho controle sobre isso e nem faço meu pedido, e não tenho uma lista de domínios que os bancos usam para 2FA verificação. E instruiu-os a entrar em contato com seu banco de gateway de pagamento, que é Banco A . E eles me respondem dizendo que entraram em contato com eles, e eles têm um pacote de URL, mas que o banco não pode oferecer.

Então, como os caras da rede devem lidar com isso? Eles podem lidar com isso do seu lado ou é algo que o banco do Gateway de Pagamento deve fazer? Como funcionam outros gateways de pagamento em um cenário como este?

* PS: Eu não tenho muito conhecimento sobre networking, desculpe antecipadamente se isso soa como uma pergunta estúpida.

Editar 1: descrevendo entidades importantes

  1. Bancos - Quem fornece os Gateways de Pagamento (Banco A) e os serviços relacionados à Transação, como 2FA (Banco C).
  2. Comerciante - Quem compra os serviços do Gateway de Pagamento do Banco (Banco A). Quem também é meu cliente para o qual eu desenvolvo o aplicativo.
  3. Usuário final - Usa o aplicativo que está no Kiosk Machines para efetuar pagamentos para os serviços do comerciante.
  4. Rede - mantida pelo comerciante (sua LAN privada)

Basicamente Banco A tem uma API para desenvolvedores usarem. A API está registrada em um domínio público, por isso é acessível por qualquer pessoa com as credenciais adequadas. A máquina de quiosque é o terminal de entrada do usuário, que será usado para fazer pagamentos para o comerciante (assim como outro contador). Quando o usuário inicia um processo de pagamento, enviamos informações relevantes sobre o pagamento ao portal de pagamento, que em troca verificará a validade das informações e solicitará ao usuário o formulário de informações do cartão de crédito / débito. Nesse ponto, se o cartão do usuário for emitido de outro banco com o 2FA habilitado, a rede bloqueia o redirecionamento para a página de verificação do 2FA, pois é de outro domínio. Se o cartão for do mesmo banco, não há problema. A transação será concluída e todos os sistemas de comerciantes serão atualizados sobre essa transação bem-sucedida.

Em suma, o comerciante e usuário está dentro da LAN, e todos os serviços e tratados internamente dentro de seus sistemas. No entanto, quando ocorre um pagamento on-line, surge a necessidade de acessar a entidade externa (Banco A + Banco B). O Domínio do Banco A tem autorização para a rede.


Oi k9osh, estou achando difícil ver onde está o Bank A, onde está o Bank C, e onde o usuário está, em relação ao filtro de rede. Você pode editar e descrever isso?
Paul

@Paul agradece a Paul por me ajudar com isso. Eu editei a questão. Não tenho certeza se isso é exatamente o que você pediu. Mas se você tiver alguma dúvida, por favor me diga, eu responderei assim que eu as ver.
k9yosh

1
Não sei como você pode resolver isso sem a participação da equipe de rede que executa o filtro. De sua descrição, o conhecimento não está disponível para você ou para eles. Então realmente sua única opção é testar os serviços de autenticação de vários provedores, fazer com que eles falhem e fazer com que os caras da rede monitorem o filtro e ver o que está bloqueado.
Paul

@Paul Desculpe pela resposta tardia. Idk como eu perdi sua resposta. Enfim, acho que você está certo. Eles ainda não resolveram isso e desativamos essa funcionalidade conforme o pedido deles. É uma rede hospitalar e, depois do ataque de ransomware WannaCry, suas Políticas de Rede foram reforçadas. Assim, mesmo a gerência não consegue raciocinar para uma solução com o departamento de TI deles. Obrigado pela ajuda!
k9yosh
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.