it-swarm.com.de

Der beste Weg, um Zahlungsseiten für In-App-Käufe in Handy-Apps anzuzeigen

Neulich habe ich ein paar Einkäufe mit einer Handy-App (Android) getätigt. Ich habe Paypal verwendet, aber dies kann tatsächlich auf jedes Zahlungsgateway angewendet werden.

Die Anwendung öffnete gerade ein "Fenster" oder Popup und fragte nach den Paypal-Details. Ich vertraue dieser App und weiß, dass mir tatsächlich die Paypal-Website im Popup angezeigt wurde, aber es gab keine Möglichkeit (oder ich habe keine gefunden), dass ich wirklich bestätigen Ich habe Paypal verwendet und keine mock/phising Window fragt nur nach meinem Paypal-Benutzernamen und Passwort.

Was wäre Ihrer Meinung nach eine kluge Methode, um zu zeigen, dass es sich tatsächlich um Paypal (oder andere Zahlungsgateways) handelt, wenn Sie keine standardisierte vertrauenswürdige Browserleiste haben, in der möglicherweise die URL und/oder der https-Status angezeigt werden?

Ich prüfe die Erstellung einer benutzerdefinierten Nicht-Webanwendung für den (normalerweise online verfügbaren) Webshop, den ich betreibe, und habe mich gefragt, was ein guter Weg ist, oder zumindest gut genug, damit Benutzer ihm vertrauen, ohne unbedingt meinem zu vertrauen Anwendung.

Ich weiß, dass dies mit der Standard-API für In-App-Käufe (Google Checkout bei Android) möglich ist, bei der das Systemkonto verwendet wird, sodass Sie Ihren Benutzernamen und Ihr Kennwort nicht eingeben müssen, sondern was Sie für andere Zahlungen tun müssen Gateways?

11
Jcl

Gute Frage, Jcl.

Auf deine Frage ...

... Ich prüfe die Erstellung einer benutzerdefinierten Nicht-Webanwendung für den (normalerweise online verfügbaren) Webshop, den ich betreibe, und habe mich gefragt, wie ich das Vertrauen der Benutzer gewinnen kann, ohne meiner Anwendung unbedingt zu vertrauen.

Die beste UX, die ich mir vorstellen kann, besteht darin, Ihren App-Benutzern das Bezahlen mit ihrem Telefon zu ermöglichen (z. B. iPay oder die Abrechnung mit ihrem Mobilfunkanbieter, ähnlich wie bei In-App-Spielekäufen). Dem Benutzer wird sein Konto von einer vertrauenswürdigen Quelle in Rechnung gestellt, und für Sie müssen Sie sich keine Sorgen machen, dass Käufer Ihrer Wahl der verfügbaren Zahlungsmethoden vertrauen.

Als Randnotiz ...

Warum ein Popup?

Ich habe vor einigen Jahren stundenlang in Sicherheits-/UX/Dev-Meetings genau dieselbe Frage diskutiert. Das UX-Team versuchte, die UX eines Zahlungsprozesses zu verbessern, und schlug vor, den Paypal-Popup-/Authentifizierungsprozess zu eliminieren.

Der Grund, warum ein Browser-Popup/eine Weiterleitung zu Paypal verwendet wird, liegt darin, dass im Browserfenster die URL einer Seite (z. B. xxxxx.Paypal.com/yyyy) angezeigt wird, die als vertrauenswürdiger Validierungsmechanismus für Käufer und Händler fungiert.

Wenn eine Zahlungsseite Bilder/Zertifikate/Siegel auf einer Seite verwendet, können diese einfach kopiert und einer gefälschten Seite hinzugefügt werden. Gleiches kann leicht mit einer Seitenkopie und Links gemacht werden. Die Adresse der Browserseite scheint meines Wissens das einzige Element zu sein, das an dieser Stelle eine solide Garantie bieten kann.

Auf Mobil- und Tablet-Geräten ist es für einen nicht technischen Benutzer viel schwieriger, die Gültigkeit von Bild-URLs usw. zu testen.

2
Igorek

Dies ist ein Sicherheitsproblem bei allen Methoden "In-App-Kauf oder Zahlung" aufgrund von Phishing-Angriff.

Yahoo! verwendet eine Technik namens "Sign in Seal". Mit dieser Methode kann Yahoo! Benutzer erstellen ein Siegel (normalerweise ein Bild), das in Yahoo! Server und ist an ein zufällig generiertes Token gebunden und dieses Token wird in einem Cookie auf der Clientseite gespeichert. Auf diese Weise prüft die Seite, wenn Ihre App (entweder native App oder Web-App) den Benutzer zur Zahlungsgateway-Webseite umleitet, zunächst, ob diesem Client ein Siegel zugeordnet ist, und zeigt dem Benutzer das Siegel an. Auf diese Weise stellt der Benutzer sicher, dass er eine gültige und echte Seite besucht (keine Phishing-Seite).

Die Probleme mit dieser Methode können sein

  1. Die erwähnte Methode ist von Yahoo! und ich weiß nicht, ob ihre Verwendung ihre Patentrechte verletzt
  2. Benutzer müssen beim ersten Besuch der PG-Seite ein Siegel erstellen, damit Sie die Benutzer so warnen können, dass sie zumindest beim ersten Besuch auf die Adressleiste und die SSL-Anzeige des Browsers achten

Ich hoffe es hilft dir

1
anonim