Názory k článku Payment Request API: informace o platební kartě bezpečně v prohlížeči

Aha… Z některých popisů a tohoto blokového schématu https://developers.google.com/web/fundamentals/payments/images/4_the_payment_transaction_process.png jsem čekala že to zastoupí platební bránu a browser si vykomunikuje platbu sám přímo s kreditní společností. Pokud to bude fungovat tak, že nejen ukládám číslo karty a CVC v prohlížeči, ale zároveň ho posílám obchodu a ten ještě nějaké bráně, trochu se mi vytrácí ten přínos a z pohledu potenciální programátorky toho webu i to usnadnění. Asi si přes víkend projdu dokumentaci…

Proč by to měl do formuláře uživatel po sté opisovat, když si to obchodník může vytáhnout přes API? Nehledě na to, že kromě (nebo místo) platby kartou může obchodník podporovat třeba AndroidPay. Ten v ČR zatím není, ale bude.

Co v článku ještě nezaznělo, je to, že kromě údajů o kartě si obchodník může vyžádat i doručovací adresu. Pro zákazníka je tak celý nákup super jednoduchý.

Osobně by se mi opravdu víc líbilo, kdyby se platba dala ověřit bočním kanálem bez účasti obchodu a obejít tak úplně třetí stranu, kdy se tím omezí řetězec dúvěry na můj PC a zprostředkovatele platby.

Mně by se také moc líbilo, kdybych jako obchodník tomu API řekl moje číslo účtu a prohlížeč se nějak magicky postaral o zbytek. Ale tak to nefunguje.

Souhlas, že metody budou přibývat, ale nemyslím si, že ta basic-card je jenom příklad a že nepřežije. Našel jsem ještě toto: https://blog.midkemia.fr/web-payments-paymentrequest-api/ podle kterého existuje varianta, že obchodník dostane certifikaci na to, že ta čísla může zpracovávat. (A získat tu certifikaci je tak obtížné, že zneužívat a riskovat reklamace a ztrátu certifikace ho ani nenapadne.)

Ano, tím "obchodníkem" můžou být klasické platební brány, to jsem psal také, v tom se shodneme. Ale také si umím představit spoustu malých obchodníků, kteří budou podporovat např. jen AndroidPay/ApplePay nebo jinou lokální platební metodu (bankovní tlačítka nebo QR kódy u nás, WeChat v Číně apod), kde příjem peněz bude jednodušší a obchodník nebude odkázán na platební bránu.

Jinak ještě k těm kartám - obchodník za přijetí platby kartou platí poplatek několik procent z částky, minimálně však cca 25 centů. Pro větší částky nebo pro mikroplatby jsou tak platby kartou nepoužitelné.

Vy jako obchodník API řeknete: „Podporuju tyhle metody platby. Tady je seznam položek s cenami, které chci zaplatit, celková částka, podporuju tyhle způsoby dopravy a požaduju, aby uživatel zadal e-mail a adresu pro doručení. Zobraz uživateli požadavek na zaplacení.“ Prohlížeč to zpracuje, z podporovaných metod platby vybere ty, které sám podporuje, dá uživateli na výběr, nechá ho vybrat způsob dopravy, doplnit e-mail a doručovací adresu, pak proběhne uživatelem vybraný způsob platby (třeba z mobilu odešle prémiovou SMS) a obchodníkovi se vrátí informace „Platba úspěšně proběhla, tady jsou identifikační údaje platby.“

Souhlas, že metody budou přibývat, ale nemyslím si, že ta basic-card je jenom příklad a že nepřežije.
Psal jsem, že je to uváděné jako příklad v dokumentaci – což vůbec neznamená, že by to byla jediná možná metoda. V dokumentaci se často uvádějí i vymyšlené příklady… Nepsal jsem, že nepřežije – jenom že je to fallback, poslední možnost, aby se používání vůbec rozjelo. Ale jakmile budou dostupné jiné způsoby plateb, uživatelé budou nabádáni, aby basic-card nepoužívali, protože je to nebezpečné a poskytují tím údaje o kartě přímo obchodníkovi.

Pro malé obchodníky je dnes naopak výhodnější použít platební bránu než implementovat jednotlivá bankovní tlačítka a nejspíš ještě platbu kartou. QR kód pro tohle není varianta, protože tam nemáte to zpětné potvrzení, že platba proběhla. QR kód je jenom snazší způsob, jak dát klasický offline příkaz k úhradě. Do toho API by to samozřejmě také šlo zapojit, ale nebude tam ta výhoda online potvrzení platby.

U basic-card se nevrátí identifikační údaje platby, ale karty (to je fakt). U jiných metod to možná můžou být identifikační údaje platby, ale to UI pro zadání čísla karty už nebude tak hezké - nebude zaintegrované v prohlížeči / nastavení telefonu.

Jako zprovozňovat basic-card abychom pak tvrdili, že je nebezpečný a že ho nemáte používat, mi nezní jako plán ;-). Ale OK, možná se pletu.

Jinak podepsat smlouvu s platební bránou taky není jen tak (musí proběhnout Know Your Customer - fyzicky ověřit klienta,..). Těm malým může stačit, že se to jen nějak napřímo napojí na jejich PayPal / Google / AppleID účet a fungují, i když bez karet...

U jiných metod bude UI takové, jaké ho autor pluginu pro daný typ platby udělá. Dá se předpokládat, že třeba platební brány budou mít UI stejné, jaké mají na webu platební brány. Pokud to nebude platba kartou, nebo se nebude číslo karty do prohlížeče zadávat, políčko pro zadání čísla karty v UI vůbec nebude…

basic-card budou potřebovat minimálně ty weby, které potřebují znát číslo karty, např. proto, že si u nich kupujete předplatné a částka je pak strhávána opakovaně. Takže je dost nepravděpodobné, že by tenhle způsob platby úplně zanikl. Ale rozhodně to není důvod, proč celé to API vzniklo – nedává smysl vymýšlet a implementovat takhle komplexní API, které by ve výsledku umělo to samé, co obyčejný webový formulář a předvyplněné údaje v prohlížeči.

Ne ne, pro předplatná nepotřebujete vědět číslo karty, je to jen jiný typ objednávky.

Co má tedy obchodník uloženého, aby mohl za rok strhnout z mé platební karty částku, která odpovídá ročnímu předplatnému? Ta částka ani nemusí být stejná jako u první platby. To obchodník vydavateli karty řekne jenom „zopakuj transakci XY, akorát změň částku na Z“? Z hlavy si vybavuji dva nebo tři případy předplatného, určitě Microsoft a JetBrains, nejspíš i Google, a ve všech případech tam musí být zadané údaje o mé platební kartě – takže možná teoreticky mají možnost udělat to jinak, ale prakticky předplatné realizují pomocí zapamatování údajů o kartě.

VISA a MasterCard má API pro PCI DSS compliant subjekty (platební brány, Amazon, PayPal, Microsoft, Google,...) a v rámci toho API jde strhnout z karty peníze, i opakovaně.

Platební brána pak má API, kde obchodník řekne autorizuj mi částku X, případně autorizuj mi částku X jednou za rok apod.

Na recurring payments tedy obchodník nepotřebuje znát číslo karty.

Když chcete strhnout nějakou částku, musíte nějak identifikovat, odkud se má ta částka strhnout. Např. při převodu z bankovního účtu je to identifikováno buď IBAN, nebo tím, že jde o českou banku, číslem účtu a kódem banky. Na způsob identifikace toho, odkud se má ta částka strnout, jsem se ptal, a vy jste na to ve své odpovědi zapomněl.

Např. u JetBrains mi bude v lednu končit předplatné, které jsem zaplatil cca před dvěma roky za nějakou zaváděcí cenu. Mám nastavené automatické obnovování předplatného po roce, teď už se obnoví za standardní cenu. Mezi tím mi vypršela platnost platební karty, se kterou jsem to předplatné před těmi dvěma roky zaplatil, o čemž mi přišel e-mail a já jsem zadal údaje o nové platební kartě. Údaje o kartě prý neukládá přímo JetBrains, ale zprostředkovává to Adyen. Já si myslím, že v lednu ta platba proběhne na základě toho, že jsem jim dal a oni mají uložené číslo mojí karty, měsíc expirace, jméno držitele karty a bezpečnostní kód (CVV). Při zadání údajů o kartě jí ověří tak, že zablokují 1 dolar, ale pak částku zase uvolní. Podle vás to číslo karty už znát nepotřebují a tu částku by si mohli v lednu strhnout jinak, na základě jiných údajů, tak by mne zajímalo, na základě jakých a jak je získali.

Hm, teď čerstvá zkušenost - letenka kupovaná na kiwi.com (brněnská společnost), číslo karty a CVV se zadává přímo na stránce obchodníka, platba seběhne i bez autorizační SMS. Jak to dělají??? Chjo...

Způsobů plateb kartou je několik, to, kde se používá CVV a případně zadává kód z autorizační SMS jsou internetové platby. Další typ plateb jsou platební terminály, kde se transakce ověřují PINem, a pak existuje úplně ten nejstarší typ plateb, který pochází z USA a je založený na důvěře – k provedení platby stačí jen znát číslo karty.

Jo, tam směřuje moje původní otázka - jak to tedy dělají? Funguje pro ČR trh nějaký poskytovatel platebních služeb, kterému bych údaje o kartě řekl a on tu platbu provedl? Nebo jak?

Jaký typ služby konkrétně používají nevím. Ale myslím, i vzhledem k jejich zaměření, že nemají poskytovatele zaměřeného na český trh, ale spíš nějakého globálního poskytovatele (Adyen apod.). A všechny ty bezpečnostní nadstavby u karet jsou vlastně volitelné… To přijímání transakcí s nižším stupněm ověření bude určitě vyváženo cenou (ať už přímo, nebo schovanou v objemu transakcí), protože provozovatel takové služby na sebe bere větší riziko, že strhne nějakou platbu neoprávněně a banka mu jí nezaplatí.

V prohlížeči už to může mít uživatel uložené dnes.

To je konstatování faktu. Pokud někdo chce, zadá si ty údaje do prohlížeče už dnes, pokud nechce, nezadává si je tam. To API na tom nic nezmění.

Smysl toho konstatování byl v tom, že na dnešním stavu nezáleží.
Pokud se někdo tváří, že budoucí API zhorší situaci (což je výchozí bod celé této diskuse), záleží na současné situaci, protože s ní to budoucí API srovnáváte. A pak je potřeba uvést fakt, že to budoucí API situaci nezhorší, protože kdo chce, má údaje o platební kartě uložené v prohlížeči už dnes, a to API na tom vůbec nic nezmění.

by bylo ideální z processu plateb samozřejmě co nejvíc vyřadit random obchody
Což je přesně to, co tohle API umožňuje.

co nejméně zapojit klientské a přenést na API bank
API je hezká věc, ale někde musíte sebrat ty údaje, na jejichž základě se platba provede. Respektive ne někde, ale od uživatele, protože ten musí tu platbu autorizovat. A uživatel sedí u svého počítače, kde má spuštěný prohlížeč – takže ty údaje od klienta musejí přijít přes ten prohlížeč. Zabezpečit se to dá dalším kanálem, třeba ověřovacím kódem, který uživatel opíše z mobilu.

Přenos na klientskou stanici je podle mě dost velké riziko
K žádnému přenosu na klientskou stanici nedochází. Na klientských stanicích už to je od začátku, a pokud chcete platby zadávat ze svého počítače a ne s nimi běhat do banky, na klientských stanicích to i zůstane.

argument "už je to tak i dneska" je irelevantní
Dobře, takže dáme na vás, to API se nebude implementovat a – aha, vlastně, zůstane to tak, jak je to dneska.

Já to se současným stavem neporovnávám.
To je chyba. Protože současný stav tady dneska máme, a když se nic nezmění, budeme ho mít i nadále.

Jenom píšu, že se mi nezdá takové zapojení klientského browseru.
Mně zapojení klientského prohlížeče připadá dost zásadní. Určitě chci, aby do toho byl zapojen klient – byl bych velmi nerad, aby platby z mého účtu odcházely bez mé autorizace. Dále bych chtěl, aby platby bylo možné provádět na dálku přes internet. Takže chci, aby v tom byl internetový prohlížeč zapojen, protože ty platby budu iniciovat přes něj. Jak bude ta platba zabezpečená, to už standard neřeší, to je na implementaci každé platební metody. Klidně jedna z platebních metod může být to, co má dnes MasterCard – že do mobilu naskenujete QR kód a platba se provede z mobilu. Akorát ten QR kód nebude zobrazovat webová stránka, ale přímo implementace dané platební metody v prohlížeči, takže to bude bezpečnější.

Já reaguju na to, co jste napsal. Akorát jsem (asi mylně) předpokládal, že také víte něco okolo – aspoň to, co je o API napsáno v článku, že jste četl předchozí příspěvky ve stejném vlákně…

Celé vlákno začalo tím, že by takové API v prohlížeči vůbec nemělo být, např.protože je to nebezpečné. Já jsem na to reagoval, že údaj eo platební kartě může mít uživatel uložené v prohlížeči už dnes, a tohle API naopak přináší bezpečnější způsob placení. Vy jste tomu oponoval. Tak pokud vy čtete, co jsem napsal já, a reagujete na to, zpochybňoval jste to, že tohle nové API není bezpečnější nebo alespoň stejně bezpečné, jako starý způsob. Nebo jste tedy chtěl napsat něco jiného?

Kde jsem napsal že do toho nemá být browser vůbec zapojen?
Napsal jste, že se vám nezdá takové zapojení klientského browseru. Tedy že se vám nezdá, že browser zprostředkuje komunikaci mezi uživatelem a platební bránou. Já si nějaké ještě menší zapojení prohlížeče představit nedokážu, a vy jste žádné nepopsal. Tak sem s tím, jaké zapojení browseru by podle vás bylo adekvátní?

Opravdu by sis měl nejprve přečíst co ti kdo píše a ne si vymýšlet nějaké vlastní zkazky.
No tak když si přečtu to, co jste napsal, dozvím se, že se vám na tom něco nelíbí, ale nevíme co, a udělal byste to jinak, ale nevíte jak. A pak jste kritizoval uložení údajů o platební kartě v prohlížeči, což je současný stav a to nové API umožňuje to změnit a platit kartou i tak, že ani prohlížeč se platební údaje nedozví.

Ostatně jak jsem si všiml za poslední dobu tady, nejsem první kdo ti po několika příspěvcích píše, že mu mluvíš o něčem co vůbec nepsal, o čem nemluvil a podsouváš mu to.
Ano, někteří trollové takové věci píšou, zpravidla po té, co už poněkolikáté popřeli své předchozí příspěvky. Vy se k nim chcete přidat?

Ale OK, pokud máte pocit, že jsem nějaké vaše komentáře překroutil, omlouvám se. Napište tedy prosím znova, co jste o tom API chtěl napsat, já budu předchozí debatu ignorovat a odpovím čistě jen na ten nový komentář.

Ne, když se zapojíte do nějakého vlákna se svým názorem, měl byste napsat, co je váš názor.

Ano, takové se mi nezdá a na psal jsem i proč.
Jo, akorát jste pořád nenapsal, co je to to „takové“. Pokud chcete, aby si ostatní nemuseli domýšlet, co jste chtěl vlastně napsat, zkuste omezit používání zájmen, která se neodkazují nikam.

Ostatně jsem napsal co se mi nelíbí.
No, napsal jste, že se vám nelíbí něco, co vůbec neexistuje.

Nelíbí se mi další přenos API na klienta
Přenos API na klienta? Co si pod tím mám představit? Že dnes existuje nějaké API, které není na klientovi, a to API se nově přenese na klienta?

Zjevně nefunguje metoda, že se budu pokoušet uhodnout, co znamenají ty vaše věty, které se příliš neshodují s realitou. Takže abychom se domluvili, nezbývá, než abyste vysvětlil, co si zhruba tak představujete pod pojmem „přenos API na klienta“.

"A pak jste kritizoval uložení údajů o platební kartě v prohlížeči, což je současný stav"

To není pravda.
Aha, takže přeci jen chcete patřit k trollům, kteří si stěžují na to, že překrucuji jejich slova, načež popřou to, co sami před chvílí napsali.

Takže komentář „Jako největší problém bych předpokládal to uložení v browseru uživatele ...“ dnes v 15:12 jste nepsal vy? Já jsem psal „uložení“, vy jste napsal „uložení“, já jsem napsal „prohlížeč“, vy jste napsal „browser“ – to je to samé, na tom bychom se snad mohli shodnout; já jsem napsal „údaje o platební kartě“, vy jste nenapsal konkrétně uložení čeho, ale reagoval jste na můj komentář, kde jsem reagoval na komentář o „uložení údajů o platební kartě v prohlížeči“, takže se dá předpokládat, že i vy jste psal o uložení údajů o platební kartě.

Když se budeš spíš soutředit na to co ti kdo píše a méně na chytračení za každou cenu, i těch trollů ubude ...
Vy jste psal velmi mlhavé nesrozumitelné věty. Mohl jsem to interpretovat dvěma způsoby – buď to vzít tak, že za tím jsou nějaké myšlenky, které jenom neumíte pořádně zformulovat, a nebo to vzít tak, že jenom blábolíte. Vždycky se snažím postupovat tou vstřícnější variantou, takže jsem zvolil tu první a snažil jsem se uhodnout, co jste tím asi myslel. To se vám nelíbí a trváte na tom, že se má soustředit na to, co jste doopravdy napsal. OK, jdeme na to.

Každopádně si myslím, že by bylo ideální z processu plateb samozřejmě co nejvíc vyřadit random obchody a co nejméně zapojit klientské a přenést na API bank
Random obchody vám odpustím. Ale zapojit klientské co? Nezapomněl jste k tomu přívlastku napsat také nějaké podstatné jméno? Co a jak chcete přenášet na API bank?

Přenos na klientskou stanici je podle mě dost velké riziko
Přenos čeho?

Napsal jsem co jsem napsat chtěl. Je to jenom o několik příspěvků nahoře. Pokud to opravdu hodláš přečíst, není to určitě žádný problém ...
Já jsem to opravdu přečetl. Několikrát. Doufal jsem, že se přeneseme přes to, že jsou to jen tak nahozené bláboly, a že v další diskusi vysvětlíte, co jste tím chtěl sdělit. Trváte ale na tom, že se mám zabývat přesně tím, co jste napsal, tak jsem výše učinil několik dotazů na věci, které vám z těch vašich textů vypadly.

A příště, až zase budete mít potřebu někoho poučovat o tom, že si má přečíst váš text, přečtěte si ten svůj text nejprve sám.

Takže, podle tebe, pokud neimplementuju vlastní API pro Amazon, Google ... a banky tak nesmím mít názor a když ještě ke všemu nesouhlasí s tvým, tak na to musím mít snad vlastní RFC.
Vy si stěžujte, že vám něco podsouvám…

Názor můžete mít, to vám nikdo nebere. Problém není v názoru, ale v tom, že píšete o jakémsi „přesouvání platebního API“ jako o faktu, přičemž jste si ve skutečnosti jak to přesouvání tak to platební API vymyslel. A nevymyslel jste si to zas až tak dobře, když vás nenapadlo ani to, že byste si u přesouvání měl také vymyslet, odkud se to přesouvá, a u platebního API, co to API dělá a mezi jakými dvěma stranami je to rozhraní.

A pokud se přece jennom ozvu a nenechám si vnutit nějaké domělé závěry o mém názoru, tak jsem troll?
Ne, troll jste proto, že jste si vymyslel nějaký nesmysl, a když jsem se nejprve zeptal na detaily toho nesmyslu a následně vyjádřil názor, že je to nesmysl, místo abyste ten nesmysl opravil, začal jste mi podsouvat věci, které nedělám – na rozdíl od vás.

vydereš 2 slova z věty a pak o každé větě která obsahuje ty samé slova vrdíš že je ta samá
Kde jsem tohle tvrdil? Aha, nikde, to mi zase jen něco podsouváte. Já jsem tvrdil, že dvě konkrétní věty znamenají prakticky to samé. To je úplně něco jiného, než vámi podsouvané tvrzení, že každá věta obsahující dané slovo, znamená to samé. Pokud ty dvě konkrétní věty, které jsem srovnával, podle vás neznamenají to samé, nemělo by přece být nic jednoduššího, než napsat, v čem je mezi těmi větami rozdíl. Chápu, že to ve vašem konkrétním případě je obtížné, protože ta vaše první věta byla špatně česky a ta druhá věta je jeden z jejich možných překladů do češtiny. Tak jste ale aspoň mohl snažit a nevysvětlovat ten rozdíl na větě, kterou jste napsal, ale na větě, kterou jste chtěl napsat.

Jsi zdravý?
Ano, jsem, děkuji za optání. To, že moc netušíte, o čem píšete, takže jsou to takové mlhavé nic neříkající věty, není můj problém.

2x jsem ti napsal, že mi vadí, když se platební API přesunje do browseru uživatele,
Ano, opakujete to stále dokola, že vůbec netušíte, o čem je řeč, a tak jste si vymyslel pohádku o přesunu jakéhosi platebního API. Musíte ale uznat, že jsem vám dal příležitost vzít ten blábol zpět a napověděl jsem vám, že když píšete o nějakém přesunu někam, měl byste také vědět, odkud se přesouvá.

Takže si nebudeme dál nalhávat, že jste tou větou o přesouvání platebního API něco myslel. Ne, nemyslel, prostě jste něco plácnul. Takže logicky nemůžete napsat, jaké konkrétní platební API se někam přesouvá, protože žádné takové API neexistujue, A nemůžete napsat ani odkud se přesouvá, protože ani nad tím jste nepřemýšlel.

Ale co na tom k...a nechápeš
Nechápu, že pořád melete něco o přesouvání nějakého platebního API, když nedokážete napsat, odkud se přesouvá a o jaké platební API jde.

podsouvat mi takové krávoviny?
Já vám ty krávoviny nepodsouvám, tu krávovinu o přesouvání platebního API jste napsal vy sám, na začátku komentáře jste se k tomu přiznal.

A srovnávat věty, že když v ní použiju "browser" a tak je to to samé jako každá věta kde je nějaký "brovser/proh­lížeč"? Nejsi retardovaný? Vy si stěžujte, že vám něco podsouvám. Kde jsem napsal, že každá věta, kde je napsané browser/prohlížeč, znamená to samé, co jste napsal vy? Nikde. Já jsem srovnával vaše dvě věty:

• Jenom píšu, že se mi nezdá takové zapojení klientského browseru.
• Kde jsem napsal že do toho nemá být browser vůbec zapojen?

Připadá vám, že ty věty mají společné jenom to, že se v nich vyskytuje slovo „browser“? Není to spíš tak, že jednou je v té větě „takové zapojení“, přičemž se to „takové“ neodkazuje k ničemu v předchozím textu, nebo-li je to špatně napsaná věta a čtenáři nezbývá, než si domýšlet, co jste tím „takové“ asi tak mohl myslet? Zatímco v druhé větě je slovo „vůbec“, které, pravda, vylučuej jakékoli „takové“ zapojení. No, myslel jsem, že třeba vysvětlíte, co jste tím „takové zapojení“ myslel. Jenže to jsem vám zase podsunul, že jste tím něco myslel, což byla chyba.

Takovejch řečí, místo abyste přiznal, že o platebních API nevíte vůbec nic a přesouvání do webového prohlížeče jste si vymyslel…

PayPal jste asi v životě neviděl, tak vám můžu prozradit, že se tam platební údaje zadávají do webové stránky zobrazené ve webovém prohlížeči.

Payment Request API především umožní zaplatit tak, aniž by se web obchodníka mohl dostat k údajům o platební kartě. Dokonce umožní zaplatit tak, aniž byste vůbec do webového prohlížeče zadával údaje o platební kartě. A bude to integrované přímo v rozhraní prohlížeče, takže nebudete muset řešit, jestli vás web opravdu přesměroval na bezpečnou platební bránu.

Bavit se není o čem, protože vám vadí, že se platební API přesouvají bůhvíodkud do prohlížeče, což je fikce, kterou jste si vymyslel.