АРХИВ СТАТЕЙ ЖУРНАЛА «МОЙ КОМПЬЮТЕР» ЗА 2003 ГОД

Электронные байты

• Все журналы \ Номер 36/259 `2003 от 08.09.2003 \ Электронные байты

Никита СЕНЧЕНКО nikita@lintec.net.ua

Нет, что ни говорите, а Билл Гейтс — человек умный и безмерно образованный. Еще в далеком 1995 году в своей известной книге «Дорога в будущее» (англ. вариант — «The Road Ahead») он предрекал смерть бумажным деньгам и вечную жизнь их электронным собратьям.

До полной кончины дело, конечно, пока не дошло, но, видимо, дойдет, и скоро. Наши потомки забудут, как это — таскать в кармане наглухо истертый бумажник/портмоне, а будут носить на связке ключей эдакий микродевайс, хранящий в себе сокровенные мани. Только электронные. Или вовсе не будут ничего носить. Все покупки — только из дома через Сеть. А как же иначе?

Впрочем, о чем я? Все это уже довольно давно существует — и волшебные микродевайсы (в миру — смарт-карты), и электронные кошельки, и онлайн-магазины. Проблема заключается только в человеческой психологии: кто-то не доверяет, кто-то не понимает. В общем, оставим подозрительных наедине со своими сомнениями, а сами займемся оттачиванием собственных навыков.

Итак, что мы знаем об электронных платежах? Они служат для расчетов между юзерами в Сети. Удобны. Проходят в считанные секунды. Зачастую анонимны или псевдоанонимны. В каждой электронной платежной системе (далее — ЭПС) используется некоторая электронная наличность, которая является эквивалентом чему-нибудь из оффлайнового мира, обычно реальной валюте или драгоценным металлам. Весь объем этой наличности, находящийся в обращении в ЭПС, необходимо подтвердить «оффлайновым эквивалентом». Говоря по-модному, веб-деньги должны иметь стопроцентную и моментальную ликвидность. Проще: захотел я «ввести» в систему энную сумму — без проблем ввел. Захотел «вывести» ее обратно (обналичить) — тут же без проблем вывел. Однако не будем зацикливаться на финансовых вопросах. Сегодня поговорим о том, как технически и программно организованы ЭПС, а также вспомним некоторые факты из их истории.

Систем так много, что представить их все в рамках одной статьи невозможно. Поэтому остановимся на трех: WebMoney (http://webmoney.ru), PayCash (http://paycash.kiev.ua) и e-port (http://eport.ru). Все эти системы инкубированы на родной русско-украинской земле. Именно поэтому они и стали объектом нашего рассмотрения.

ЭПС не имеют какой-либо общепринятой классификации, по крайней мере, в техническом понимании вопроса. Предлагаю разделять их по типу интерфейса взаимодействия с пользователем. Тут все просто. Управление электронным счетом и осуществление операций с ним может происходить через web-интерфейс либо через клиентское приложение (допустим, под Винды). Собственно, такая классификация тоже довольно размыта, поскольку в WebMoney, например, используются оба способа взаимодействия.

К первой категории однозначно относим e-port. Ко второй — PayCash. WebMoney, как уже было сказано, может сочетать в себе управление и через Web (версия Light), и через программу-клиента (версия Classic).

WebMoney Transfer

WebMoney ведет свою историю с 1998 года. Как раз в августе 98-го, если помните, произошел пресловутый дефолт. Рубль обваливался тогда со скоростью кирпича, упавшего с крыши 16-этажного дома. По всем законам жанра младенец должен был скончаться сразу после рождения. Однако этого не произошло. Благодаря продуманной и агрессивной рекламной политике, быстрому построению модных и полезных сервисов, раздаче бонусов первым пользователям, системе удалось тогда встать с колен и удержаться на ногах. Сейчас WebMoney пользуется уже 600 тысяч человек.

При своем запуске ПО системы —WM Keeper — устанавливает соединение с серверами сертификации (речь идет о Classic-версии программы). Все операции проходят в закодированном виде, с использованием алгоритма защиты, подобного RSA, при длине ключа более 1024 бит (!). Для каждого сеанса (транзакции) применяются уникальные ключи сеанса, поэтому в течение транзакции никто, кроме отправителя, не имеет возможности определить назначение платежа и его сумму. Для каждой сделки используются уникальные реквизиты, и попытка применить их повторно отслеживается и пресекается. Кроме того, задействованы алгоритмы кодирования RC5, MD4, MD5, SSL.

Как известно, на пользовательском уровне в WebMoney реализовано несколько степеней защиты: доступ по уникальному WMID и паролю и обязательное наличие т.н. файла ключей (*.kwm). В этом файле хранится приватный ключ для доступа в систему, который зашифрован с использованием WMID и пароля. Таким образом, для того чтобы получить доступ к своим средствам в системе, необходимо знать не только пароль к WMID, но и обладать секретным файлом *.kwm. Кража одного лишь пароля ничего не даст.

Я ни разу не слышал об удачных попытках прямого взлома WebMoney-сервера или самой программы WM Keeper. Зато случаев распространения троянцев, «стаскивающих» файлы с ключами, довольно много. Лозунги здесь обычные: «Скачайте нашу программу-кряк и генерируйте WM сколько душе угодно». Причем чаще всего для правдоподобности за этот кряк нужно заплатить небольшую сумму денег. Получается, авторы такого чуда троянской мысли остаются в выигрыше при любом исходе. Если ламер заплатит за программу — хорошо. Если потом не сможет защититься — еще лучше.

Скорее всего, видя плачевность ситуации, в WebMoney начали реализовывать всякого рода защиту от дурака. Пользователям была дана возможность сохранять файл с ключами на смарт-карте, а также искусственно увеличивать его размер вплоть до 10 Мб. Согласитесь, стащить десятимегабайтное файло — это уже проблема. Кроме того, в последней версии Keeper’а введена процедура активации: на e-mail высылается специальный код — пока его не введешь, не сможешь манипулировать средствами на кошельках.

По просьбе трудящихся, вебманевские программеры разработали еще один инструмент, который теперь лежит по адресу https://security.webmoney.ru. Данный сервис позволяет заблокировать доступ к своему WMID со всех IP-адресов, кроме тех, что входят в список разрешенных.

PayCash (Интернет.Деньги)

PayCash появился на свет в России в начале 1998 года, почти одновременно с WebMoney. Несмотря на то, что эта система всегда считалась технологически продвинутой и защищенной, а также куда более уверенно чувствовала себя в сфере права и юриспруденции, по числу пользователей PayCash на порядок отставала от WebMoney. Это отставание объяснялось более сложными процедурами регистрации и использования ПО системы, а также запутанной финансовой схемой, понять которую дано далеко не каждому, даже видавшему виды юзеру. Позже PayCash переметнулся в Украину, где успешно и ассимилировался, став единственной украинской платежной системой. С недавнего времени украинский PayCash работает под новой маркой —«Интернет.Деньги». К сожалению, никакие данные о количестве пользователей или оборотах системы пока не опубликованы.

Работа с PayCash происходит с помощью программы-клиента под Windows. Программа эта носит название «Интернет.Кошелек». Схема функционирования PayCash основана на так называемой классической технологии цифровой наличности, впервые предложенной голландским разработчиком Дэвидом Чаумом (система eCash). Именно он создал денежный суррогат — бессрочные денежные обязательства на предъявителя, эмитированные банком или другой финансовой организацией в форме электронных сертификатов, которые могут быть использованы для расчетов через Интернет.

Технология PayCash использует криптографические алгоритмы RSA с длиной ключа в 1024 бита и более, электронную цифровую подпись (ЭЦП), а также так называемую «слепую» электронную подпись. Я не буду подробно останавливаться на этих алгоритмах и схемах, тем более, что они довольно сложны для того, чтобы быть изучены без детального рассмотрения.

e-port

Система e-port основана в России 1999 году. По своей сути она несколько отличается от двух уже рассмотренных нами в этом материале и построена на использовании так называемых единых карт e-port. Каждая карта может представлять собой всего лишь учетные данные — номер и PIN-код (это «виртуальная карта» e-port, которую можно получить онлайн), а может иметь и вполне осязаемое физическое обличие.

Карта e-port служит неким аналогом кредиток, используемых при оплате в Сети, однако аналогом весьма отдаленным. На епортовской карте аккумулируются денежные средства (их, конечно, нужно сперва зачислить на карту). Впоследствии они могут быть потрачены на оплату товаров и услуг в подключенных к системе магазинах или для покупок в Momentalno.Ru — интернет-магазине системы, который торгует товарами, не требующими физической доставки. В рамках Momentalno.Ru e-port имеет агентские соглашения с мобильными операторами, интернет-провайдерами и провайдерами IP-телефонии, платного телевидения, а также интернет-казино. Благодаря этому ты можешь пополнить, например, свой счет на мобилке или купить карту доступа в Сеть буквально за 3 клика мышью.

Управление счетом в e-port происходит через web-интерфейс, по протоколу https, с использованием SSL v. 3.0. Тут девелоперы велосипеда не изобрели. Для каждого сеанса (сессии) используются генерируемые сеансовые SSL-ключи, которыми обмениваются клиент и сервер. После обмена ключами данные шифруются по симметричному криптографическому алгоритму RC4. Стойкость шифра — 40, 56 или 128 бит.

Никаких визуальных Win-приложений для управления своим счетом у e-port нет.

Прием оплаты на сайте

Фактически простое открытие кошелька в ЭПС уже позволяет принимать платежи на своем сайте. Ведь можно это делать вручную, не так ли? Сиди себе круглые сутки и обрабатывай заказы в своем е-шопе. Не очень удобно, к сожалению. Куда более приятнее осознавать, что процесс приема оплат на твоем сайте происходит автоматически, без твоего личного участия. Ты спишь — денежки капают. Все три системы позволяют это реализовать. Правда, вот здесь уже придется немного потрудиться. Рассмотрим это на примере WebMoney как системы наиболее продвинутой в данном аспекте.

Вопросу автоматизации всего и вся WebMoney уделяет большое значение. Здесь вообще много сделано, чтобы облегчить жизнь веб-мастерам и разработчикам. Так, с помощью соответствующих элементов ActiveX, вставленных на страницу, мы можем предложить юзеру запустить Keeper (и в случае его согласия сделать это автоматически) и даже побудить его начать процедуру инсталляции этой программы (если она еще не установлена).

Что касается приема оплат на сайте, то тут WebMoney предоставляет 2 способа: использование модуля аутентификации для автоматической выписки счета и использование сервиса Merchant (https://merchant.webmoney.ru). Первый вариант — для заядлых девелоперов. Он считается уже немного устаревшим по причине некоторой сложности, однако используется все еще довольно часто. Суть его заключается в автоматической выписке счета покупателю, а затем — в проверке состояния его оплаты. Для этого необходимо скачать и проинсталлить на сервере специальный модуль аутентификации, в задачи которого входит формирование ЭЦП каждой операции. Это позволяет производить операции в системе только от имени WM-идентификатора, используя секретные ключи которого модуль производит подпись. Инсталляция под Unix может выглядеть так:

chmod a+x ./compl.sh

./compl.sh

В дальнейшем для автоматической выписки счета, проверки состояния его оплаты, а также автоматического перевода средств с кошелька на кошелек необходимо использовать предлагаемые WebMoney довольно простые и понятные интерфейсы. Данный способ, однако, имеет два недостатка. Первый — высокая вероятность сбоя или «погрешности» в работе системы, зависимость от состояния коннекта к серверу WebMoney. Второй — необходимость выкладывать на сервере в открытом виде файл ключей kwm (он нужен для работы модуля аутентификации), а также специальный ini-файл, который должен содержать WMID, пароль к нему и путь к ключам на сервере. Главная и единственная защитная мера — размещать все это добро на серваке как можно глубже, например по адресу типа /yUik3orl/9klv3AdQ/85hJKLfr/. При таком варианте наткнуться на файл с ключами сможет либо опытный шаман либо полный дурак (которому, как известно, везет).

Второй вариант приема оплат через WebMoney куда проще. Для этого служит сервис Merchant. Тут схема такая: ты передаешь серверу WebMoney информацию о заказе (номер, сумма и проч.), пользователь проходит авторизацию (на серваке ВебМаней), после чего с его счета списывается соответствующая сумма, и клиент перенаправляется обратно на сайт.

Аналогичные сервисы существуют и у PayCash. Несмотря на то, что они, по сравнению с разработками «ВебМаней», куда менее удобны и прозрачны, «Интернет.Деньги» принимают сейчас к оплате уже достаточно большое число отечественных магазинов.

У e-port аналогичные разработки по подключению магазинов вылились в создание целого программного продукта, который был назван e-POS. Деньги e-port принимают на своих сайтах более 150 магазинов.

Электронный магазин за 5 минут

Разработчик WebMoney, компания ЗАО «Компьютерные и информационные технологии» (ЗАО «КИТ»), подготовила специальный продукт под названием DigiSeller (http://digiseller.ru). С его помощью любой веб-мастер, имеющий мозгов в голове даже по минимуму, может за несколько минут создать электронный магазин, торгующий цифровыми товарами: PIN-кодами, e-книгами, программным обеспечением, баннероместами на сайтах и другим неощутимым на ощупь барахлом.

Особенностью продажи цифровых товаров является их моментальная доставка пользователю. При добавлении товара продавец должен закачать его на сервер DigiSeller’а, а когда покупатель оплачивает товар, он благодаря этому мгновенно получает его по внутренней защищенной почте WebMoney (если это, например, PIN-код) или ему вручается ссылка для скачивания (если это, скажем, программа).

С помощью DigiSeller’а могут быть созданы магазины трех типов.

Агентский магазин. Это когда вам нечего продавать, и вы хотите, чтобы товары для продажи тебе дал сам DigiSeller. Создание агентского магазина сводится к простой вставке html-кодов на сайт. Вы получаете отчисления за каждый проданный товар.

Собственный магазин. Используйте этот вариант в том случае, когда у вас есть, что продавать. DigiSeller даст вам необходимые скрипты, которые вы установите у себя на сайте. Для облегчения процедуры предусмотрен специальный конструктор. Все продаваемые вами товары будут располагаться на сервере DigiSeller’, а вы за это (и за все хорошее) обязуетесь отчислять ему комиссионные.

Торговая площадка. Вы не участвуете в купле-продаже напрямую, а просто даете возможность продавцам продавать, а покупателям покупать через ваш сайт. Вы зарабатываете на комиссии от продаж, отчисляя немного за вредность и DigiSeller’у.

Примером торговой площадки может служить собственный ресурс WebMoney, основанный на технологии DigiSeller, —Plati.Ru (http://plati.ru). Если ты написал суперпрогу, за которую, как тебе кажется, народ согласится выложить свои кровно заработанные деньги, но у тебя нет никакого желания ради этого создавать целый магазин, иди на Plati.Ru, регистрируйся там в качестве продавца и продавай свою программу через них. С каждой продажи, правда, придется отстегивать магазину 3% комиссионных, однако вы не пожалеете. Plati.Ru — магазинчик такой раскрученный (оборот — около $40 000 в месяц), что с торговлей проблем не будет.

Теперь же предлагаю кратко ознакомиться с процедурой создания собственного магазина с помощью DigiSeller (2-й вариант в нашей классификации). Это довольно просто. Все сводится к получению необходимого html-кода, который надо разместить у себя на сайте. Сами товары хранятся на сервере DigiSeller.

Для начала необходимо пройти регистрацию. На ваш WMID будут отправлены логин и пароль. Заходите на http://www.digiseller.ru/site/digi_login.asp и авторизируйтесь. Со страницы Товары — Добавить добавьте новый товар. После этого он появится в списке Товары — Список. Теперь перейдите на страницу Мой магазин и создайте там новую группу товаров. Затем добавьте в нее товар, уже существующий в списке. После этого вы будете перенаправлены на страницу с вожделенными html-кодами. Там их два. Первый — для страницы со списком товаров, второй — для страницы описания товаров и оплаты (кстати, DigiSeller поддерживает оплату в любой валюте WebMoney, цифровыми чеками Paymer, а также с помощью Яндекс.Деньги, e-port и e-gold). Скопируйте коды и вставьте на соответствующие страницы. На этом все.

SoftActivation

Другая модная примочка от WebMoney —Software Activation Service (SAS) — предназначена для авторов шареварных прог. Что ни говорите, интересную идейку предложили девелоперы. Если ты — программист, то твое дело — писать кульные проги, и тебе совсем некогда задумываться, как, где и с чьей помощью их продавать. Но проблемы реализации продукта все равно не избежать. Кроме того, посредник сдерет с тебя приличное вознаграждение за свои услуги. Что ж, теперь можно вздохнуть спокойно. Воспользовавшись SAS’ом, вы будете продавать ПО напрямую конечному пользователю через систему WebMoney и, конечно, сэкономите при этом кучу денег.

Мало того, ребятки из ЗАО «КИТ» припасли нам еще один сюрприз. Как было раньше? Написал ты прогу, продал один регкей, а потом смотришь — он уже на дисках вместе с твоей программой продается. Обидно... Так вот, в SAS есть возможность контролировать количество инсталляций программы и, соответственно, количество использований выданного регистрационного номера. Рекомендуется разрешать 3–4 инсталляции на 1 регкей — типа, чтобы покупатель мог сделать одну инсталляцию дома, одну на работе и еще парочку оставить на случай неизбежного падения «Винды» и ее последующей реинкарнации.

Секрет таких новаторских чудес заключается в том, что система WebMoney как бы интегрируется в твою программу: с помощью SAS устанавливается зависимость между прогой и WMID, с которого была произведена ее оплата. Покупка софтины происходит даже без вашего участия, вы только получаете денежки на свой счет в WebMoney.

Вот и все. Подробности о сервисе SAS опубликованы на сайте http://www.softactivation.com. Там же можно посмотреть видеоролики, наглядно иллюстрирующие процесс покупки программы и активации регистрационного ключа.

Удачи!

Идёт загрузка...

Данную страницу никто не комментировал. Вы можете стать первым.

Ваше имя:
Ваша почта:
Комментарий:
Введите символы или вычислите пример: * Обновить