Gratis parasols dankzij Javascript | Intracto

07 augustus 2013

Gratis parasols dankzij Javascript

Begin deze week pakte FOD Economie nog uit met het trieste/hoopgevende cijfer dat amper één derde van de Belgische webwinkels in orde is met onze e-commerce wetgeving. Maar het zijn niet alleen de klanten die moeten beschermd worden. Soms zit de site zelf met een serieus veiligheidsprobleem. Zo kwamen wij tot de vaststelling bij het online kopen van een parasol.

blog-gratis_parasols_dankzij_javascript-image2

Het gevaar van een manke webwinkel

Met het hete weer van de afgelopen weken zou een parasol zeker niet misstaan aan het kantoor van Intracto. Digital natives als we zijn (maar vooral ook gemakzuchtig ;-)), gaan we online op zoek naar een geschikte parasol. Weinig verrassend vinden we een goede deal bij een shop van onze noorderburen. Wat we niet wisten, was dat de deal nóg beter zou worden.

Na het gebruikelijke invulwerk in de check-out procedure komen we bij de betaling. Alle belangrijke betaalmethoden zijn mogelijk, maar vragen een extra administratiekost. Enkel de Nederlandse betaalmethode iDeal is kosteloos. Daar zitten we dan met onze internationale Visa-kaart.

Voor die extra €1,95 maakt onze gemakzucht plaats voor oerdegelijk Vlaams ‘gefoefel’. We openen Firebug en kijken of we de controle niet kunnen omzeilen. En warempel! De website verwerkt het extra bedrag bij de betaalopties via Javascript (client-side) in plaats van de veiligere server-side (bv. PHP) methode.

Het is dan voor ons een klein kunstje om het on-click event in de code te verwijderen om gratis te kunnen betalen met onze kredietkaart.

blog-gratis_parasols_dankzij_javascript-image1

Verlies zonder medeweten

Uiteraard hebben we een feestje gebouwd met de €1,95 die we uitgespaard hebben! Maar belangrijker is te weten of je als webshop beheerder wel een veilige winkel online hebt staan. Niet alleen moet je wettelijk in orde zijn, maar technisch kan er ook heel wat mis lopen. Getuige dit voorbeeld en het kan nog erger.

In een latere fase, toen we deze kleine hack wilden reproduceren, kwamen we tot de conclusie dat het zelfs mogelijk is een parasol te bestellen zonder dat er een betaling is gebeurd. Het verlies van €1,95 is één ding, maar een hele parasol van €80 gratis weg geven is een ander paar mouwen.

Webshops zijn grotendeels geautomatiseerd en als je als beheerder weinig technisch onderlegd bent, boek je zonder dat je het weet verlies.

Ethisch handelen

We zijn absoluut geen bedriegers bij Intracto. Daarom hebben we de webshop in kwestie gecontacteerd met de melding van het veiligheidsprobleem. En dat we daarmee €1,95 hebben uitgespaard, hebben we ook netjes opgebiecht.

Het is ons doel om het internet beter te maken en daarin verdient iedereen een eerlijke kans op succes. Dit verhaal is alleszins ook voor ons een belangrijke herinnering om de websites die we voor onze klanten bouwen altijd tot in de puntjes te controleren.

En jij? Is jouw code in orde?

blog-gratis_parasols_dankzij_javascript-image3