携帯電話アプリでアプリ内購入の決済サイトを表示する最良の方法
先日、携帯電話のアプリ(Android)を使って数回購入しました。私はPaypalを使用しましたが、これは実際にはどの支払いゲートウェイにも適用できます。
ことは、アプリケーションがPaypalの詳細を要求する「ウィンドウ」またはポップアップを開いていただけです。私はこのアプリを信頼していて、実際にポップアップにPaypalのWebサイトが表示されていることを知っていますが、方法がありませんでした(または、見つかりませんでした)本当にできました確認 Paypalを使用していて、 Paypalのユーザー名とパスワードを尋ねるモック/フィッシングウィンドウ。
URLやhttpsステータスを表示する可能性のある標準化された信頼できるブラウザバーがない場合、それが実際にPaypal(または他の支払いゲートウェイ)であることを示すための賢明な方法は何だと思いますか?
私が実行している(通常はオンラインの)Webストア用にカスタムの非Webアプリケーションを実行することを評価していますが、これを行うための良い方法、またはユーザーが必ずしも私のことを信頼せずにそれを信頼できるようにするにはどうすればよいか疑問に思っていました応用。
システムのアカウントを使用する標準のアプリ内購入API(Androidの場合はGoogle Checkout)で実行できるため、実際にユーザー名とパスワードを入力する必要はありませんが、他の支払いについてはゲートウェイ?
すばらしい質問です、Jcl。
あなたの質問に...
...実行している(通常はオンラインの)Webストアに対してカスタムの非Webアプリケーションを実行することを評価していますが、アプリケーションを必ずしも信頼せずにユーザーの信頼を得るための良い方法は何だろうと考えていました。
私が考えることができる最高のUXは、アプリユーザーが電話で支払うことを許可することです(たとえば、iPay、またはアプリ内ゲームの購入と同様に、モバイルサービスプロバイダーに請求します)。ユーザーに対しては、信頼できるソースからアカウントへの請求が行われるので、購入者が利用可能な支払い方法の選択を信頼することを心配する必要はありません。
余談ですが......
なぜポップアップですか?
私は何年も前に、セキュリティ/ UX/Devミーティングで何時間も費やして、まったく同じ質問について話し合っています。 UXチームは、支払いプロセスのUXを改善しようとしており、Paypalのポップアップ/認証プロセスを排除することを提案していました。
ブラウザポップアップ/ Paypalへのリダイレクトが使用される理由は、ブラウザウィンドウにページのURL(例:xxxxx.Paypal.com/yyyy)が表示されるためです。このURLは、購入者や販売者にとって信頼できる検証メカニズムとして機能します。
支払いページがページに画像/証明書/シールを使用している場合、それらは簡単にコピーして偽のページに追加できます。同じことは、ページのコピーとリンクで簡単に行うことができます。ブラウザページのアドレスは、私が知る限り、現時点で確実な保証を提供できる唯一のアイテムのようです。
モバイルおよびタブレットデバイスでは、技術者以外のユーザーが画像のURLの有効性などをテストすることははるかに困難です。
フィッシング攻撃によるすべての「In –アプリの購入または支払い」メソッドのセキュリティ問題です。
Yahoo! 「Sign in Seal」と呼ばれる手法を使用します。その方法を使用して、Yahoo!ユーザーは、Yahoo!に保存されるシール(通常は画像)を作成します。サーバーとランダムに生成されたトークンにバインドされ、そのトークンはクライアント側のCookieに保存されます。このようにして、アプリ(ネイティブアプリまたはWebアプリのいずれか)がユーザーをペイメントゲートウェイWebページにリダイレクトすると、ページは最初にそのクライアントに関連付けられたシールがあるかどうかをチェックし、シールをユーザーに表示します。このようにして、ユーザーは有効な実際のページ(フィッシングページではない)にアクセスしていることを確認します。
この方法の問題は、
- 上記の方法は、Yahoo!それを使用することが彼らの特許権を侵害するかどうか私は知りません
- ユーザーはPGページへの最初のアクセス時にシールを作成する必要があるため、少なくとも最初のアクセスではブラウザーのアドレスバーとSSLインジケーターに注意を払うようユーザーに警告する方法を管理する必要があります。
お役に立てば幸いです