W3C въвежда стандарт за запазване на данните от банковите карти в браузърите
Консорциумът W3C е съвсем подготвен с новия стандарт Payment Request API, предопределен да опрости закупуването на артикули от интернет магазините. Вече няма да се постанова ръчното въвеждане на разплащателните данни при всяка покупка, тъй като реквизитите на банковите карти ще се записват в браузърите и ще се вкарват автоматизирано (с изключение на CVV кода).
Това е доста комфортно: заплащането с дебитна или кредитна карта може да стане с няколко клика. Но в случай че до момента хакерите търсеха бази данни с информация за банкови карти, в този момент малуерът ще стартира да търси тази информация непосредствено от браузърите на локалните машини.
На 4 октомври бе оповестена черновата Candidate Recommendation, мнения по която ще се одобряват до 31 октомври тази година.
Въпреки че стандартът Payment Request API към момента не е дефинитивно одобрен, той е включен по дифолт в следните браузъри:
Chrome 61 (десктоп версията)Chrome за Android от версия 53 и нагореChrome за iOS от версия 62 и след неяOpera 48Opera за Android версия 48 и нагоре
Новите интерфейси към този момент са осъществени в браузъра Edge, а във Firefox и Safari са на стадий създаване. Но с цел да се употребява тази опция в Edge, е нужен Microsoft Wallet акаунт, който не е изключително известен измежду потребителите. При Chrome всичко е по-различно – във версията за Android, тази функционалност е задействана през август 2016, а в десктоп версията по дифолт бе включена през септември 2017, с излизането на Chrome 61.
Когато потребителят прави поръчка в интернет магазин (натиска бутона Купи), магазинът изпраща API извикване към браузъра на потребителя, съобщавайки информация за поръчката. Браузърът извежда програмен прозорец, в който всички полета с реквизитите на заплащането и адреса за доставката са към този момент попълнени (ако най-малко един път са въведени в браузъра). Ако потребителят удостовери информацията, браузърът, а не уеб-сайтът се свързва с оператора вид Visa, Mastercard или някой различен, с цел да се реализира транзакцията. Когато се получи удостоверение, браузърът оповестява на уеб-сайта на магазина за сполучливото реализиране на разплащането и той може да стартира пакетирането и изпращането на стоката, тъй като знае, че нужната сума към този момент е в неговата банкова сметка.
Първи новата система за предпазване на банковите реквизити в браузърите имат намерение да внедрят Samsung и Фейсбук, тъй като са извънредно заинтересувани от опростяване разплащането в интернет.
В GitHub е отворена папка с образци на код за внедряване в уеб страниците на разнообразни видове разплащания посредством Payment Request API. Има и страница с демота, където е показан действителния развой на едно разплащане с образци за потребителския и за сървърния код.
На пръв взор новата система наподобява рискова, само че в действителност тя е измислена за по-добра отбрана на конфиденциалните данни. Идеята е, че в този момент базите данни с информацията за банковите карти към този момент няма да се намира във всеки интернет магазин, което до момента водеше до многочислени приключвания. Сега всичко е в ръцете на потребителя и той си носи отговорността за своите банкови данни, които се съхраняват в неговия персонален браузър.
Може би по-важното е, че изчезва нуждата от платежни системи като да вземем за пример PayPal, който играеше ролята на медиатор. С потреблението на технологията Payment Request API, медиатори няма.
Безспорно с Payment Request API общата сигурност нараства, само че се появяват нови опасности. Получава се по този начин, че браузърът знае прекалено много: освен вашите лични пароли, а и финансовата информация. Получавайки достъп до браузъра, всяко външно лице може да извърши покупки от ваше име. И още, разработчиците на браузъри вероятно биха се съблазнили да употребяват историята на покупките за свои цели. Например, за още по-точно таргетиране на рекламата.
През идващите месеци ще се разбере, дали потребителите ще окажат толкоз огромно доверие на браузърите, че да запишат в тях данните на своите банкови карти.
Това е доста комфортно: заплащането с дебитна или кредитна карта може да стане с няколко клика. Но в случай че до момента хакерите търсеха бази данни с информация за банкови карти, в този момент малуерът ще стартира да търси тази информация непосредствено от браузърите на локалните машини.
На 4 октомври бе оповестена черновата Candidate Recommendation, мнения по която ще се одобряват до 31 октомври тази година.
Въпреки че стандартът Payment Request API към момента не е дефинитивно одобрен, той е включен по дифолт в следните браузъри:
Chrome 61 (десктоп версията)Chrome за Android от версия 53 и нагореChrome за iOS от версия 62 и след неяOpera 48Opera за Android версия 48 и нагоре
Новите интерфейси към този момент са осъществени в браузъра Edge, а във Firefox и Safari са на стадий създаване. Но с цел да се употребява тази опция в Edge, е нужен Microsoft Wallet акаунт, който не е изключително известен измежду потребителите. При Chrome всичко е по-различно – във версията за Android, тази функционалност е задействана през август 2016, а в десктоп версията по дифолт бе включена през септември 2017, с излизането на Chrome 61.
Когато потребителят прави поръчка в интернет магазин (натиска бутона Купи), магазинът изпраща API извикване към браузъра на потребителя, съобщавайки информация за поръчката. Браузърът извежда програмен прозорец, в който всички полета с реквизитите на заплащането и адреса за доставката са към този момент попълнени (ако най-малко един път са въведени в браузъра). Ако потребителят удостовери информацията, браузърът, а не уеб-сайтът се свързва с оператора вид Visa, Mastercard или някой различен, с цел да се реализира транзакцията. Когато се получи удостоверение, браузърът оповестява на уеб-сайта на магазина за сполучливото реализиране на разплащането и той може да стартира пакетирането и изпращането на стоката, тъй като знае, че нужната сума към този момент е в неговата банкова сметка.
Първи новата система за предпазване на банковите реквизити в браузърите имат намерение да внедрят Samsung и Фейсбук, тъй като са извънредно заинтересувани от опростяване разплащането в интернет.
В GitHub е отворена папка с образци на код за внедряване в уеб страниците на разнообразни видове разплащания посредством Payment Request API. Има и страница с демота, където е показан действителния развой на едно разплащане с образци за потребителския и за сървърния код.
На пръв взор новата система наподобява рискова, само че в действителност тя е измислена за по-добра отбрана на конфиденциалните данни. Идеята е, че в този момент базите данни с информацията за банковите карти към този момент няма да се намира във всеки интернет магазин, което до момента водеше до многочислени приключвания. Сега всичко е в ръцете на потребителя и той си носи отговорността за своите банкови данни, които се съхраняват в неговия персонален браузър.
Може би по-важното е, че изчезва нуждата от платежни системи като да вземем за пример PayPal, който играеше ролята на медиатор. С потреблението на технологията Payment Request API, медиатори няма.
Безспорно с Payment Request API общата сигурност нараства, само че се появяват нови опасности. Получава се по този начин, че браузърът знае прекалено много: освен вашите лични пароли, а и финансовата информация. Получавайки достъп до браузъра, всяко външно лице може да извърши покупки от ваше име. И още, разработчиците на браузъри вероятно биха се съблазнили да употребяват историята на покупките за свои цели. Например, за още по-точно таргетиране на рекламата.
През идващите месеци ще се разбере, дали потребителите ще окажат толкоз огромно доверие на браузърите, че да запишат в тях данните на своите банкови карти.
Източник: kaldata.com
КОМЕНТАРИ