Uso Stripe per i pagamenti delle app nel mio progetto di app per dispositivi mobili e non capisco perfettamente come qualsiasi app sia protetta se l'utente immette le informazioni sulla scheda (con o senza stripe) se non è su HTTPS per tutto il tempo .
Dalla mia comprensione se vuoi fare qualsiasi forma (gioco di parole) dei pagamenti su un dispositivo mobile devi creare un token e inviare quel token a un back-end server che utilizza HTTPS (e ha la chiave privata) per elaborare il pagamento (con stripe, non sono abbastanza familiare con gli altri).
Come indicato dalla striscia:
It's worth noting that Checkout doesn't actually create charges—it only creates tokens. You can use those tokens to create the actual charge on your server.
Dove il token diventa una carica quando è sul lato server che è su SSL
All submissions of payment info using Checkout are made via a secure HTTPS connection. However, in order to protect yourself from certain forms of man-in-the-middle attacks, we suggest that you also serve the page containing the payment form with HTTPS as well. This means that any page that a Checkout form may exist on should start with https:// rather than just http://.
La mia domanda / preoccupazione (TL; DR):
Quindi puoi creare un token senza averlo sopra HTTPS, dove è solo il pagamento che deve essere su HTTPS. Tuttavia, questo processo di creazione di token è sicuro (la mia prima domanda)? Non posso fare a meno di pensare che chiunque inserisca le proprie informazioni sulle carte in cui le informazioni vengono inviate sul filo per strisciare e tornare indietro per creare un token non è sicuro ed è soggetto agli attacchi degli uomini nel mezzo.
- È sicuro che il token venga creato su HTTP e non su HTTPS? È sicuro quindi inviare il token creato tramite il cavo tramite HTTP?
- In tal caso, non potrebbero essere compromesse le informazioni sulla carta dell'utente (ad esempio raccolte o raschiate) in questo processo? Quando le informazioni sulla carta sono state inserite, inviate a stripe, inviate indietro e inviate server tutto senza HTTPS ?
- Quali sono le migliori pratiche quando si tratta di un dispositivo mobile? Questo caso differisce nello sviluppo nativo o ibrido? Che dire dell'utilizzo nel browser delle app per i pagamenti?