Payment Request API: Ένα νέο πρότυπο του W3C που θα αρχίσει να έρχεται σιγά σιγά με τις επερχόμενες εκδόσεις των προγραμμάτων περιήγησης. Είναι ένα πρότυπο που θα απλοποιήσει τον τρόπο με τον οποίο πραγματοποιούνται κάθε πληρωμές στο διαδίκτυο.
Το νέο πρότυπο ονομάζεται Payment Request API ή API αιτήματος πληρωμής, και θα αποθηκεύει τα στοιχεία της κάρτας πληρωμής στα προγράμματα περιήγησης, όπως ακριβώς συμβαίνει και με τους κωδικούς πρόσβασης.
Οι ιστότοποι θα μπορούν να χρησιμοποιούν το API για να δημιουργούν κουμπιά που με ένα κλικ θα επιτρέπουν στο χρήστη να αγοράσει κάποιο προϊόν χωρίς να χρειάζεται να πληκτρολογήσει τα στοιχεία πληρωμής του.
Θα εμφανίζεται ένα αναδυόμενο παράθυρο με τις λεπτομέρειες πληρωμής. Ο χρήστης θα μπορεί στη συνέχεια να επιλέξει τη μέθοδο πληρωμής, μαζί με μια διεύθυνση παράδοσης, που έχει αποθηκευτεί στο παρελθόν στο πρόγραμμα περιήγησης.
Μπορείτε να δοκιμάσετε ένα test API από εδώ.
Τα προγράμματα περιήγησης που υποστηρίζουν το API αιτήματος πληρωμής συμπεριλαμβάνουν τον Google Chrome, ο οποίος για πρώτη φορά άρχισε να υποστηρίζει το API από τον Chrome 53 για Android τον Αύγουστο του 2016 και πρόσθεσε υποστήριξη για desktops τον περασμένο μήνα με την κυκλοφορία του Chrome 61.
Ο Microsoft Edge υποστηρίζει επίσης το API Αίτησης πληρωμής από το Σεπτέμβριο του 2016, αλλά η λειτουργία απαιτεί από τους χρήστες να διαθέτουν ένα λογαριασμό στο Microsoft Wallet.
Ο Firefox και το Safari εξακολουθούν να εργάζονται για την υποστήριξη του API.
Ας δούμε λίγο όμως πως λειτουργεί το νέο API. Το Payment Request API παρέχει στους πωλητές ένα σύστημα για τη διαχείριση οικονομικών συναλλαγών.
Όταν ένας χρήστης πραγματοποιεί μια παραγγελία, ο ιστότοπος κάνει μια κλήση API στο πρόγραμμα περιήγησης του χρήστη, διαβιβάζοντας τις λεπτομέρειες που χρειάζεται η παραγγελία. Το πρόγραμμα περιήγησης στη συνέχεια, ζητάει από τον χρήστη με ένα αναδυόμενο παράθυρο, τις λεπτομέρειες για την κάρτα (αν δεν υπάρχουν) και μια διεύθυνση παράδοσης/αποστολής που επίσης αποθηκεύεται στην ενότητα αυτόματης συμπλήρωσης του προγράμματος περιήγησης.
Με αυτές τις λεπτομέρειες, ο browser – και όχι ο ιστότοπος – έρχεται σε επαφή με τον τρόπο πληρωμών του χρήστη, ο οποίος μπορεί να είναι Visa, Mastercard ή οποιοσδήποτε άλλος μεγάλος πάροχος πιστωτικών καρτών.
Μόλις ολοκληρωθεί η πληρωμή, το πρόγραμμα περιήγησης αποστέλλει μια απάντηση στον ιστότοπο, ο οποίος καταγράφει τη συναλλαγή και προχωράει με την αποστολή του προϊόντος, γνωρίζοντας ότι τα χρήματα είναι ήδη στον τραπεζικό του λογαριασμό.
Οι παροχείς πληρωμών, όπως η PayPal ή η Amazon, ίσως να μην χρησιμοποιούν το νέο API, αλλά πάρα πολλές άλλες εταιρείες θα το χρησιμοποιήσουν. Το API Αίτησης Πληρωμών είναι ένα από τα λίγα πρότυπα της Κοινοπραξίας του Παγκοσμίου Ιστού που οι περισσότερες από τις σημαντικότερες εταιρείες τεχνολογίας έχουν υποβάλει αιτήσεις.
Το API θεωρείται επίσης πολύ καλό στην ασφάλεια του ηλεκτρονικού εμπορίου, δεδομένου ότι εμποδίζει τους ιδιοκτήτες καταστημάτων να αποθηκεύουν δεδομένα καρτών πληρωμής στους διακομιστές τους. Αυτό σημαίνει ότι δεν θα υπάρχει πλέον ο φόβος διαρροής πληροφοριών από κάποιο μεγάλο ή μικρό ηλεκτρονικό κατάστημα.
Μετακινώντας την αποθήκευση των στοιχείων της κάρτας πληρωμής στο πρόγραμμα περιήγησης, η ευθύνη της διατήρησης των δεδομένων με ασφάλεια μετακινείται στο πρόγραμμα περιήγησης και τον ίδιο τον χρήστη.
Payment Request API. Όμως:
Αν και το Payment Request API είναι μια πολύ ασφαλής μέθοδος χειρισμού συναλλαγών στο διαδίκτυο, δεν είναι τέλεια.
Για όσους δεν αντιλαμβάνονται τους κινδύνους, οι κατασκευαστές browsers θα έχουν μια πλήρη εικόνα των οικονομικών σας και των συναλλαγών που πραγματοποιείτε. Έτσι θα υπάρχουν πολλοί που δεν θα θέλουν να αποθηκεύουν τέτοιες πληροφορίες στο πρόγραμμα περιήγησής τους.
Έτσι το Payment Request API δεν θα είναι σε θέση να αντικαταστήσει πλήρως τις κλασικές μεθόδους πληρωμής και θα είναι απλώς άλλη μια επιλογή πληρωμών στα πρότυπα του W3C.
Επιπλέον, δεδομένου ότι το API βρίσκεται ακόμη υπό ανάπτυξη, υπάρχουν πάρα πολλά κενά ασφαλείας που δεν έχουν ανακαλυφθεί.
Δύο από αυτά ανακαλύφθηκαν πρόσφατα από τον DR. Lukasz Olejnik, ανεξάρτητο ερευνητή στον τομέα της ασφάλειας στον κυβερνοχώρο στη θυγατρική του Κέντρου Πολιτικής Πληροφορικής του Princeton.
Ο ερευνητής ανακάλυψε ότι οι ιστότοποι που δεν πωλούν προϊόντα ή οι διαφημιστές ενδέχεται να καταχραστούν το API για να δημιουργήσουν προφίλ στους χρήστες, εντοπίζοντας τις επιλογές πληρωμής που έχει αποθηκεύσει κάθε χρήστης στο πρόγραμμα περιήγησης, ή να εντοπίσουν πότε πληρώνει ο χρήστης από κανονική και πότε από κατάσταση λειτουργίας ανώνυμης περιήγησης.
“Πιστεύω ότι αμφότερα τα θέματα μπορεί να έχουν την προέλευσή τους στις προδιαγραφές”, δήλωσε ο Olejnik, ο οποίος ανέφερε τα δύο θέματα στην κατάλληλη ομάδα του W3C.
Οι εργασίες για το Payment Request API αναμένεται να ολοκληρωθούν μέχρι το τέλος του έτους, γεγονός που δίνει στους συμμετέχοντες προγραμματιστές αρκετό χρόνο να αντιμετωπίσουν τα συγκεκριμένα προβλήματα.