Платежные данные будут храниться в браузере наподобие паролей

image

Теги: Payment Request API, банковские данные, браузер

С точки зрения ИБ новый стандарт Payment Request API имеет свои плюсы и минусы.

Разработчики браузеров постепенно начинают реализовывать в своих продуктах новый стандарт Payment Request API, разработанный Консорциумом Всемирной паутины для упрощения процесса осуществления online-платежей. Стандарт заключается в хранении платежных данных в браузере, точно так же, как в настоящее время хранятся пароли.

Создатели сайтов смогут добавлять специальную кнопку, позволяющую в один клик оплатить online-покупку без необходимости каждый раз вводить банковские данные. При оплате будет появляться окно с уже введенной платежной информацией и подробностями о доставке. Пользователь сможет выбрать нужные данные, в том числе адрес доставки, из уже сохраненных в браузере.

В настоящее время новый стандарт поддерживается Google Chrome (начиная с Chrome для Android 53 и Chrome 61) и Microsoft Edge, а Firefox и Safari все еще работают над его внедрением. Что касается таких компаний, как PayPal или Amazon, то они вряд ли будут использовать Payment Request API, поскольку он делает их устаревшими.

Payment Request API имеет значительные преимущества с точки зрения безопасности, поскольку с его внедрением отпадет необходимость хранить платежные данные покупателей на серверах различных компаний. Так как банковская информация будет храниться непосредственно в браузере, ответственность за ее сохранность полностью ляжет на разработчиков и самих пользователей.

Тем не менее, есть и обратная сторона медали. Хакеры смогут похищать данные из браузеров с помощью инфостилеров, в настоящее время использующихся для похищения паролей. Кроме того, стандарт все еще находится в процессе разработки, а значит, в нем наверняка есть ошибки и уязвимости, которыми могут воспользоваться киберпреступники.

Две такие проблемы уже обнаружил независимый эксперт в области безопасности Лукаш Олейник. По его словам, ничего не продающие сайты или другие злоумышленники могут использовать Payment Request API для составления профилей пользователей и создания цифровых отпечатков. Кроме того, они способны определять, какой режим используется, анонимный или обычный.

Консорциум Всемирной паутины (World Wide Web Consortium, W3C) – организация, разрабатывающая и внедряющая технологические стандарты для интернета. Была создана в 1994 году Тимом Бернесом-Ли, который в настоящее время является главой W3C.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus