Comments 54
Лучше напишите как это реализовано технически, как удалось обойти криптографическую защиту транзакций, и прочие нюансы.
Зачем что-то обходить: оплата работает внутри приложения Т-Банка только.
Фактически, это сканировать qr код камерой, только тут терминал скажем так, отсылает картинку по блютуз, а приложение её ловит, считывает и оплачивает...
Грубо, но примерно так, да ?
Да.
я думаю они из аппл пей сделали гугл пей подход. В случае апплпея использовался чип, который сейчас я так понимаю, недоступен вместе с NFC. Но можно использовать любой канал передачи данных, вот подвернулся блюпуп.
Гугл пей тоже нет уже, но схема с Мир должна быть похожая.
Да, но должно без интернета работать в перспективе. А сбп так не умеет.
А как контролировать удаленность от терминала? Чтобы случайно не оплатить в соседней кассе? Связь по аудио для измерения расстояния?
Заголовок звучит так, будто они случайно протоколом ошиблись.
-- Так, всё разработали, давайте проверять как работает... Так, в смысле блютус?
-- А надо было по NFC? Упс...
Ну, вроде как, все знают что NFC закрыт на iOS
Думаю это знают в основном пользователи айфонов.
Ставил на подвернувшийся айфон считыватель NFC-меток, он работал. Почему бы просто не генерировать ссылку для оплаты, читаемую по NFC, раз уж всё равно используется дополнительное приложение.
Платежная часть NFC закрыта на iOS. А метки читать - сколько угодно. В теории можно было бы использовать NFC вместо bluetooth как "метод чтения информации".
Тогда не понятно почему выбран bluetooth? Видимо все же обратная связь небоходима.
QR-коды работают без обратной связи. На самом деле я тоже удивился. Возможно прошивка терминалов "заточена" под nfc payment api и по простому ограничения не обойти - а блютуз на них есть и его можно кастомайзить как угодно.
qr коды зато не работают без мобильного интернета. тут, как я понимаю, смысл такой: при входе в приложение загружается десяток одноразовых ключей для подписи транзакций (которые генерируются банком), терминал соединяется со смартфоном, передает ему параметры транзакции, смартфон подписывает транзакцию одноразовым ключом и отдает назад. терминал передает подписанную транзакцию на сервер в банк через свой интернет и получает ответ типа "ОК". следующая транзакция подпишется следующим ключом, при появлении интернета недостающее число ключей подгрузится и можно будет ещё 10 транзакций подписать без интернета.
NFC метки на iOS можно как и читать, так и писать.
Ха! Не могут блутус от NFC отличить! И эти люди гоняют нас по многопоточке на собесах...
Видел, писали что можно платить без использования интернета, типо в этом отличие от оплаты по QR коду.
Проверил - без интернета приложение не работает, увы. В чем смысл всего этого действия, не понятно.
Смысл...
Во-первых, реклама, даже если глупо, неудобно, но хайпово,
Во-вторых, будет работать с терминалами где нету большого и красивого экрана.
Пока не работает, потом будет без сети.
По оплате через QR-код, как правило, не начисляется кэшбек, т.к. это оплата по СБП (на всякий случай перепроверил у себя - последние платежи по QR у меня без кэшбека). Тут же Т-Банк заявляет в своем тг-канале, что "Кэшбэк и мили начислим так же, как при оплате картой".
На РБК также пишут, что "В дальнейшем при оплате с помощью T-Pay на iPhone не будет требоваться подключение к интернету".
Это какой-то карго-культ «нам нужен свой ___Pay»
Оригинальный Apple pay прижился потому что клик клик и все. С часами даже разблокировать телефон не надо.
А тут разблокируй телефон, открой приложение, присоединись по bluetooth. Карту не проще приложить?
Проще, но выше же написали. Лишний повод для хайпа, ну и работа для отдела разработки, наверное.
Ну мир пей хоть свой вынужденно, но работает без танцев с бубном. Но да, разблокировать надо как и в G-Pay.
Кстати а как в часах сделана защита от скама в виде подноса списывающегося устройства в людном месте, например?
Какого списывающего устройства?
Терминал имел ввиду. Внизу пояснили что левых терминалов не бывает, возможно.. Но имхо не 100% гарантия ни разу.
Но все же есть какая то защита, хотя бы программная? Детекция жеста например?
не 100% гарантия ни разу
Тут дело в том, что терминал сам по себе деньги списывать с чужого счёта не умеет. Это может сделать только банк-эквайер: терминал просто передаёт ему сумму и номер карточки, которую к нему приложили (завернув это дело во всякие подписи).
А банк инициирует транзакцию только в том случае, если у него есть с кем-то договор эквайринга, который, собственно, и связывает ID терминала со счётом получения денег.
Поэтому если Вася купит терминал (а они свободно продаются), он без договора сможет максимум тестовый стенд без транзакций поднять.
Есть ещё риск такой: законный владелец терминала решит удариться во все тяжкие, напринимать левых транзакций, перевести всё в крипту и уехать на тропический остров, пока никто не спохватился.
Но тут срабатывает то, что всегда есть лимит суммы, которую можно прогнать бесконтактным платежом без PIN-кода. Бегать по метро, списывая по 999 рублей за раз, имея в запасе всего день (дальше уже шансы ломаются сильно) - малорациональное занятие. Поэтому да, 100% гарантии нет, но она 99,9999%)
Но тут срабатывает то, что всегда есть лимит суммы, которую можно прогнать бесконтактным платежом без PIN-кода.
ну вот с G-Payем и Mir Pay по умолчанию не помню маленьких ограничений, вполне себе платил транзакции по несколько десятков Крублей, без всяких пин кодов.
Это бы спасло от больших трат да, но может на часах отдельное ограничение по умолчнию хотя бы есть тогда?
Про отдельное для часов - не слышал ни разу.
Знаю, что для обычных карточек (которые, кстати, тоже уязвимы к прикладыванию терминала к карману в давке) ограничения для требования PIN-а выставляются обеими сторонами: и банком-эквайером, и банком-эмитентом карты, срабатывает то, что ниже.
Допускаю, что для *-Pay на стороне банка может быть отдельный потолок.
Нет лимита для часов. Ну или он очень большой, по-моему 2.5к евро у меня максимум за одну транзакцию было.
Но бегать в метро нереально, на самих часах нужен дабл клик чтобы пошел платеж.
В странах первого мира платежная система/банк возвращает как правило без вопросов. За это они берут дополнительно порадка 1-3% от всех денег. Дороговато как по мне, но в эти % входит не только скрытое списание, а вообще практически все кидняки.
В рф проценты плюс минус такие-же, но никто ничего как правило не возвращает.
В рф проценты плюс минус такие-же, но никто ничего как правило не возвращает.
Проценты чего?
А так да, то что должен доказывать что не верблюд когда тебя откровенно кинули левой транзакцией по картей - это прискорбно,
Сам делаю так - на карточных счетах стараюсь не держать больше текущих расходов на пару тройку дней, остальное на отдельном накопительном.
Детекция жеста например?
Что бы заплатить часами надо два раза нажать на кнопку боковую (во всяком случае у меня так). Ну примерно как тот же PAY на iOS запускался и раньше - два быстрых нажатия на боковую. Соотвественно пока интерфейс оплаты не активен, никто ничего не спишет.
"Списывающее устройство" существует не в вакууме. Это всё платёжные терминалы, жёстко привязанные к банку-эквайеру. А тот в свою очередь знает, что вот этот терминал - ООО "Ромашка". Так что защита - не техническая, а процессная.
Если сотрудник "Ромашки" начнёт мобильным терминалом по запястьям людей в метро возить, то после первой же жалобы она налетит на штраф, отказ в обслуживании и с высокой вероятностью на уголовку.
В целом они сделали максимум из того, что технически возможно:
1) Заводится "Команда", в которой специальный урл для открытия окна оплаты.
2) Эта команда выводится на экран блокировки или на action button новых айфонов.
Таким образом, для оплаты нужно нажать всего одну кнопку и прислонить телефон к терминалу. Не сильно хуже Apple Pay.
Самый жирный минус - поддерживаются только терминалы Сбера (которые квадратные с экранчиком).
А свои свежие терминалы они еще не апгрейдят чтоли? Странно тогда, просто видимо встроили сберовское API либо протокол (ну с другой стороны хорошо что они по одному протоколу будут работать, это логично)
Так на свежих терминалах работает. В том числе на тех, которые по сути андроид телефоны со специальным софтом.
Я про то, что на обычных классических терминалах это не работает, потому что там нет bluetooth. Поэтому никакой прошивкой это не исправить - только массово менять терминалы на новые.
Ну, все эти кастыли в любом случае не такие удобные, как обычная оплата через apple pay. Плюс вот уже перманентный шатдаун делает эту функцию бесполезной.
Ну вот есть "обычная оплата через Apple Pay". У неё есть одна маленькая особенность - она не работает в России. То есть - никакой "оплаты телефоном" в России для пользователей iPhone'ов до появления этой новой функции не было, увы. Теперь хоть как-то можно платить телефоном. На мой взгляд состояние "хоть как-то, но работает" - это удобнее, нежели "не работает никак".
PS. Увы, я давно уже не "вьюноша со взором горящим" и жизнь приучила выбирать между хреновым и чудовищным...
«Т‑Банк» запустил бесконтактную оплату в сервисе T-Pay для пользователей iPhone по Bluetooth вместо NFC