Payment Api Request

dovid

@clickone אמר בChrome 68, Payment Api Request:

@dovid מי ערב שמישהו לא ייצור דפדפן דמה ויחזיר נתונים כאילו בוצעה עסקה תקינה / ישנה את הסכום שחוייב בפועל ויחזיר מה שצריך אפילו שבפועל שלח סכום קטן בהרבה?
ובמילים אחרות, על מי האחריות?

הדפדפן סה"כ אוסף פרטים (טקסט ומספרים) מוודא אותם ונותן אותם לקוד שביקש אותם.
הקוד בשלב הזה שולח את האמור לשרת שמנסה (אם הוא רוצה...) לחייב, והוא נותן לדפדפן תוצאת הצלחה או כישלון - גם זה עם סטנדרטיזציה של שגיאות (גם אם אתם באתר סיני תופיע שגיאה ברובה בעברית).

clickone

@dovid
לא בדקתי שם את הקוד לעומק.
אבל ממש מוזר לי שהדפדפן ייתן לי את המספר אשראי.
ולכן אני מניח שהוא לא מביא לי את המספר אשראי.
כך או כך זה נשמע לי חור. ובטח אני מפספס משהו

אם הוא מביא לי את מספר האשראי אז אוי ואבוי... (היום כשאני מחייב אשראי אז אין לי דרך [רק עקרונית ] לדעת את מספר האשראי של הלקוח.)
ואם הוא לא מביא, אלא מביא לי רק איזה מספר אישור, אז מי ערב לבעל האתר שלא יכתבו או ישכתבו איזה דפדפן שיביא מספר אישור בלי ללכת באמת לחברת האשראי?

בקיצור, אני בטוח מפספס משהו. השאלה רק מה...

dovid

@clickone אמר בChrome 68, Payment Api Request:

@dovid
לא בדקתי שם את הקוד לעומק.
אבל ממש מוזר לי שהדפדפן ייתן לי את המספר אשראי.
ולכן אני מניח שהוא לא מביא לי את המספר אשראי.
כך או כך זה נשמע לי חור. ובטח אני מפספס משהו

אם הוא מביא לי את מספר האשראי אז אוי ואבוי... (היום כשאני מחייב אשראי אז אין לי דרך [רק עקרונית ] לדעת את מספר האשראי של הלקוח.)
ואם הוא לא מביא, אלא מביא לי רק איזה מספר אישור, אז מי ערב לבעל האתר שלא יכתבו או ישכתבו איזה דפדפן שיביא מספר אישור בלי ללכת באמת לחברת האשראי?

בקיצור, אני בטוח מפספס משהו. השאלה רק מה...

תמיד מישהו חייב לקבל את מלוא מספר האשראי. זה או בעל האתר ישירות או החברה הסולקת עימה הוא עובד.
במקרה שלך, שזה חברה מורשה לאחסון אשראי בתקן PCI-DSS, אז היא שומרת את מלוא המספר, ולבעל העסק היא נותנת רק טוקן.
אם בעל העסק רוצה לעמוד בתקן מהקצה, אז הוא לא שם ממשק משלו אלא אייפרים של החברה המורשה, ובמקרה כזה האחריות לתקשורת עם הלקוח (ובכלל זה היכולת להשתמש עם הפיצ'ר האמור) עוברת לממשק המסופק באייפרים של החברה המורשה (פלאכרד למשל).

clickone

@dovid
כן אבל כאן אין אייפריים.
כי הדפדפן לוקח את הפרטים.
איך הדפדפן מעביר את זה לפלאכארד?
הרי יש עוד פרטים.
כמו שם המשתמש והסיסמא שלי בפלאכארד לדוגמא (שלא אמורים להיות חשופים למשתמש)

dovid

@clickone אמר בChrome 68, Payment Api Request:

@dovid
כן אבל כאן אין אייפריים.
כי הדפדפן לוקח את הפרטים.
איך הדפדפן מעביר את זה לפלאכארד?
הרי יש עוד פרטים.
כמו שם המשתמש והסיסמא שלי בפלאכארד לדוגמא (שלא אמורים להיות חשופים למשתמש)

האייפרים הוא דף אינטרנט לכל דבר.
עד היום הוא מכיל תיבות קלט - input בהם המשתמש המסכן צריך להזין את פרטיו בהצלחה.
כעת הוא יכול במקום להציג שדות קלט, לבקש מהדפדפן את הפרטים.
עדיין חייב להיות אייפרים, אם אתה מסתמך על סולק אחר מוסמך עם PCI-DSS.
ההמשך, כמו שהיה עד היום (למעט שגם הכישלון יכול להתנהל ע"י הדפדפן ולא ע"י שגיאה אדומה בשפה של הממשק התורן).

(הפרטים הנוספים שאתה מדבר, שהם בעצם תקשורת בין הדף המארח לאייפרים מועברים אולי כטוקן ע"י QueryString שאותו ייצרת בצד השרת. ייתכן גם שבכתובת יש מזהה לקוח בלי סודות מיוחדים).

clickone

@dovid
אני אשתדל לבדוק את זה לעומק ונראה
השאלה אם זה לא השקעה גדולה מדאי לממש את זה כשלא כולם עדיין תומכים בזה...

dovid

@clickone אמר בChrome 68, Payment Api Request:

@dovid
אני אשתדל לבדוק את זה לעומק ונראה
השאלה אם זה לא השקעה גדולה מדאי לממש את זה כשלא כולם עדיין תומכים בזה...

אתה לא יכול לממש את זה, בלי לוותר על הPCI-DSS.
מי שאמור לממש את זה במקרה של PCI-DSS, זו החברה עימה אתה עובד.

clickone

@dovid
לא כ"כ.
כי החברה אמורה להעביר אייפריים.
עד שהיא תממש את זה יעברו הרבה מים ולדעתי כן יש מצב שמי שבאמצע עושה משהו
טוב נראה....
אחרת אין כאן בשורה משהו......

dovid

@clickone לא הבנתי מה לא כל כך.
בארץ קשה לדעת אם החברות יעשו משהו בעתיד הנראה לעין.
אבל בעולם לדעתי זה ירוץ תוך כמה חודשים (איביי, אמזון וכו').

clickone

@dovid
לא כ"כ על מה שאמרת שאני לא יכול לממש את זה.
רק אני לא יודע אם יש צורך בזה.
באלי אקספרס (נראה לי אבל אני לא בטוח שזה שם) כבר תקופה יש משהו דומה בכרום (הוא מחייב מהכרטיס השמור)

dovid

@clickone אמר בPayment Api Request:

@dovid
לא כ"כ על מה שאמרת שאני לא יכול לממש את זה.

זה מחייב ויתור על תקן PCI-DSS לפחות בחלק קבלת הנתונים, שכן הנתונים נחשפים לגורם ללא הסמכה.