Больше чем автозаполнение: веб-браузеры получат поддержку оплаты покупок «в один клик»

Новый API рассчитан на пользователей, которые постоянно пользуются сервисами онлайн-платежей и хотят хранить данные своих карт в браузерах, по аналогии с паролями.

Новый API сделает онлайн-покупки ещё легче

Веб-сайты смогут использовать этот стандарт для создания специальных кнопок, которые позволят пользователю покупать продукт, не вводя свои платежные реквизиты на каждой странице в Интернете. Предполагается, что при совершении покупки будет появляться специальное всплывающее окно с информацией об оплате и способе доставки.

Именно в этом окне пользователь сможет выбрать способ оплаты и адрес доставки, сохранённые ранее в браузере. Протестировать Payment Request API можно, перейдя по ссылке.

Браузеры Chrome и Edge уже поддерживают данный API

Данный API уже поддерживался мобильной версией Chrome 53 для Android, выпущенной ещё в августе 2016 года. Десктопная версия браузера получила поддержку только в версии Chrome 61.

Microsoft Edge также поддерживает API с сентября 2016 года, но для его использования необходимо дополнительно зарегистрировать учётную запись Microsoft Wallet. Mozilla и Apple по-прежнему работают над включением этого API в новые версии Firefox и Safari, соответственно.

Как работает новый API?

Payment Request API предоставляет независимую систему для проведения финансовых транзакций. Когда пользователь совершает заказ, веб-сайт вызывает API в браузере, передавая ему детали заказа. Затем уже сам браузер показывает всплывающее окно пользователю, предлагая выбрать способы оплаты и доставки.

Собрав всю необходимую информацию об оплате, браузер, но ни в коем случае не веб-сайт, связывается с обработчиком платежей пользователя — Visa, Mastercard или любым другим. После проведения платежа браузер отправляет ответ обратно на веб-сайт, который уже регистрирует транзакцию и завершает покупку, зная, что деньги за товар уже находятся на его банковском счёте.

PayPal больше не нужен

С введением нового стандарта покупки на сайтах становятся такими же простыми, как при использовании сервисов вроде PayPal или Amazon, которые сохраняют данные вашей карты у себя и добавляют возможность оплаты «одной кнопкой» на многих сайтах. Позиции этих сервисов могут пошатнуться, ведь получить всё то же самое нативно в браузере проще.

Данный API также является находкой для компаний, предоставляющих услуги в сфере безопасности и электронной коммерции, поскольку они могут больше не хранить данные платёжных карт на своих серверах. Это означает уменьшение опасений, что при взломе их серверов данные карт будут обнародованы.

С другой стороны, сохраняя все данные кредитных карт в браузере, ответственность за их конфиденциальность ложится на плечи производителей браузеров и самих пользователей. Никто не отменял опасность, связанную с вредоносными фишинговыми программами и обычными малварями, которые с лёгкостью умыкнут всю информацию о картах и паролях пользователей.

Опасения по поводу сохранения конфиденциальности

Payment Request API не является идеальным способом проведения финансовых транзакций. Во-первых, производители браузеров могут получить полный доступ к вашим финансам и истории транзакций. Это может не понравиться многим, и они откажутся хранить информацию о своих картах в браузере.

Во-вторых, API всё ещё находится в разработке, что означает возможное попадание незамеченных ошибок в финальный релиз, которыми смогут воспользоваться злоумышленники. Подобные изъяны уже были обнаружены Лукашем Олейником, независимым исследователем вопросов кибербезопасности и конфиденциальности филиала Центра информационных технологий Принстона.

Олейник обнаружил, что сайты, не продающие никакие товары, могут злоупотреблять использованием API для получения профилей пользователей, определяя, какие параметры каждый браузер хранит в своих настройках. Также они смогут получать информацию о том, когда пользователь платит в обычном режиме или сеансе инкогнито.

Всё это, возможно, приведёт к ситуациям, когда API не сможет полностью заменить классические способы оплаты, а станет всего лишь ещё одним дополнительным вариантом оплаты в стандарте W3C.

По заявлениям самого консорциума W3C, работа над Payment Request API завершится к концу 2017 года, что даёт участникам достаточно времени для устранения подобных проблем.