Как выяснилось в соседнем топике, здесь в группе - масса серьезных веб программистов,
поэтому мне кажется вполне по адрему озвучить свой вопрос именно здесь.
Возможно, термин Backdoor употреблен некорректно, и требует замены.
Итак, на собственном примере - на днях лопухнулся.
Есть широкоизвестный в определенных кругах китайский магазин pandawill.com. Собственно он - не исчадие ада на фоне других, и речь о нем - только потому, что именно с ним вылезла эта бяка, которая теоретически просматривалась/просматривается и с любыми другими продавцами, включая обожаемый всеми нами ибей.
Итак, оный сайт объявил акцию - распродажа остатков (количество лимитировано) с серьезными скидками.
В анонсе я себе присмотрел планшет, который выставлен за 89.99, а по акции обещался - за 39.99. Проснувшись в нужное время поздно ночью, начал давить на клавиши. Понятное дело, что от наплыва таких же любителей халявы сайт едва дышал, и запросто можно было нажать одну и ту же клавишу несколько раз, и не совсем впопад.
Хроника:
1. Pandawill cтраница товара. Нажимаем "купить".
2. Pandawill Корзина: товар за 39.99, жмем "платить пайпел".
3. Перекинуло на страницу Paypal - ты действительно хочешь заплатить 39.99? - Подтверждаю: хочу заплатить 39.99, кредиткой.
4. Pandawill - завершение сделки.. Ах, да - выбери способ доставки. Выбираем - народной почтой Китая за 0.00. Завершить сделку.
5. радостный мейл от пайпел: клево, мужик, ты сейчас заплатил 89.99..
Следим за руками:
на шаге 4 pandawill решил, что нефиг мне продавать за 39.99, и, скорее всего - показал мне страничку уже с 89.99, но я-то - прошляпил, я-то (хоть и сонный) точно помню, что лично пайпалу я сказал, что хочу заплатить 39.99.
получается, что мой диалог с пайпелом - это еще ничего не значит, это - глаза замылить. Заплачено будет столько, сколько пойдет в запросе пайпелу из-под магазина.
Хотелось бы услышать профессиональные комментарии.

У меня тоже была неприятная ситуация с PayPal. Мне нужно было заплатить 489 долларов (сумма уже с процентом пейпала). В конечном итоге сняло 531 доллар. Я написал в пейпал, что так и так, где деньги? Они ответили что это мой банк снял комиссию. В банке люди не могут понять, комиссия 42 доллара не может быть. Как оказалось в следствии эти козлы с пейпалки два раза проконвертировали по своему курсу валюту с гривны в доллар при том, что карта была закреплена долларовая.

и внутри в самом пейпеле ушло 89.99? я скорее не думаю, что ето бекдор у палысча, а скорее хитро спрограммированый сайт продавца, где 8 и 3 замыливает глаза покупателя.

Еще раз:
1. Я уверен, что продавцом мне было показано 89.99. Но не суть. Суть в том, что:
2. Пайпал снимает не ту сумму, которую я подтвердил в диалоге с ним, а сумму, которую запросил продавец. И неважно - что мне там продавец показывал после моего диалога с пайпалом.

ты скиншоты делал? может стоит к палычу в супорт обратиться?
повторю еще раз тоже свое предположение, что при подтверждении оплаты у продавца ты видишь ту цену которую тебе они нарисовали, далее правда через апи палыча его страница должна тебе показать ту цену которую продавец через апи передает палычу ... но сдезь сложно подставить, если адресс хттп сверху не палыча а продавца ... но окончательное подтверждение оплаты делается все равно у палыча .... реально я не знаю как могли тебя так нагреть.

Скриншоты - не делал. В пайпал - обратился, продавцу - написал. Деньги назад получил. Не в этом вопрос же!

Еще раз прочитай - как происходит процесс. У кучи магазинов, включая покупку на ибей - он именно так и идет. Самое характерное тому подтверждение - уточнение вида (стоимости) доставки уже после твоего диалога с пайпал.
У меня есть мысль написать в пайпал с упором именно на процедуру. Захотят ли они разбираться.. Да и описать проблему - тоже не так просто. Вот, я тут по-русски описал - и то (судя по-всему) никому не понятно - о чем это я.

PayPal это как бы к скрипту продавца не какого отношения не имеет, и снимает ту сумму, которую скрипт магазина передал. То есть если в магазине стояла цена 39,99 а в PayPal ушла 89,99, то это значить что такая сумма была отправлена с магазина. А тут либо ошибка в скрипте магазина сработала, передала старую цену вместо новой, либо ты опоздал, акция закончилась на тебе.
Что касается таких "акций-распродаж"..., я уже не раз слышал. Часто это обычный лохотрон, народу предлагают купить за пол цены товар, типа кто первый успеет, и в конечном счёте заказывают все по полной цене, а им сообщается типа что не успел. При этом там не кто то из людей жмёт на кнопку, а скрипт отрабатывает, что бы не дать реальным покупателям успеть.
Так что..., быстрей всего ты стал обычной жертвой развода ещё одного китайского чудо магазина, а не обманут PayPal'ом.
Апропо PayPal, я где то с 2005 года имею PayPal акаунт, и часто расплачиваюсь через него, включая в баксах, и ещё не разу проблем не было подобных.

Если еще раз перечитать мое начальное сообщение, то можно заметить, что вопрос не стоит пожаловаться на то, как меня обманули. С этой лирикой я в состоянии разобраться сам, что, собственно, уже и сделал.

Другими словами - API пайпала допускает мухлеж? О чем, собственно, я и спрашиваю.

Написано понятно и тема поднята интересная и актуальная. Если все было именно так, как вы описали (а у меня нет оснований в этом сомневаться), то очевидно, что имеет место либо сговор платежной системы и магазина или так заложено в программе платежной системы.
То, что вам вернули деньги наводит на мысль, что все именно так и обстоит.
К сожалению, у меня недостаточно знаний и опыта в этой области. Но знаю неоднократные случаи, когда телефонные операторы участвовали в схемах "честного" отъема денег у своих клиентов, выступая в партнерстве с жуликами.
Все эти схемы рассчитаны исключительно на то, что из всей массы обманутых далеко не всем придется возвращать деньги. А при хорошем трафике - это немалые деньги!
Такой вот бизнес...

Какой ты упёртый )) мы тебя уже читали 10 раз, а ты все посылаешь нас тебя снова прочитать.
А где гарантия того, что тебе ночью при подтверждении оплаты палыча число 89.90 не показалась 39.90?
такой гарантии нет - ибо ето секундная операция.
И как тебе правильно ответили - возможно акция закончилась именно на тебе, но в чем я сильно сомневаюсь - что ты видел 39.90 а сняли 89.90.

АПИ принимает то, что ей передают и показывает тебе то, что ей передали, обработка дальше уже в принципе не должна изменить ничего, ибо происходит ето уже на сервер палыча.

Ни сговора, ни заговора - никакого нет, в этом у меня нет сомнений.
А вот что заложено в API пайпала - это я и пытаюсь выяснить.

На шаге диалога с пайпал я очень внимательно смотрел в экран.
Кроме того, косвенное подтверждение: пайпал писал: "$39.99, снять 30.** евро с конто", я поменял на "снять 39.99 с кредитки". Ошибки быть не могло, в случае 89.99 сумма в евро была бы 68.**

В принципе - не должна изменить. Тем не менее - пайпал не спрашивает моего подтверждения окончательной суммы снятия.

100% не уверен, поэтому не буду утверждать, но когда я пару лет назад смотрел как строится это хозяйство палпаловское, то там вроде эта страница выдавалась в скрипте магазина, и в неё подавалась переменная о цене. Так что быстрей всего что всё же магазин в вёрстке страницы выдал две разных переменных, одну цену для текста, а вторую полную передал конкретно к оплате.
Вот мож почитать немного, статейка не новая, но думаю что много нет изменений. Сам не читал, это первое что нашёл, но судя по быстрому взгляду, там достаточно подробно описано что и как делается.

Тнкс, читаю. Видимо, сегодня до конца не осилю.