Прием платежей. Маскировка ссылок

Игорь Ананченко (С.-Петербург)

Некоторое время назад («Магия ПК» №3/2005) я рассказывал об автоматизации приема платежей и моментальном предоставлении покупателю электронного товара. Де-факто наиболее популярной (хотя и не единственной) системой электронных платежей для отечественных пользователей Интернета является WebMoney Transfer (http://www.webmoney.ru). Система предоставляет пользователям большой набор сервисов, среди которых Merchant WebMoney Transfer (https://merchant.webmoney.ru/), специально предназначенный для автоматизации приема платежей и обеспечении доступа к покупаемому электронному товару. Недостатка у данного сервиса два.

Во-первых, принимать платежи можно только в электронной валюте WebMoney Transfer (если у покупателя электронные деньги какой-либо другой системы платежей, то это его проблемы — пусть ищет электронный обменник и меняет). Естественно, лучше не заставлять покупателя идти на этот шаг, поскольку обмен всегда связан с дополнительными расходами на комиссию, а лишние затраты, в том числе времени и сил, чреваты потерей потенциального клиента.

Во-вторых, вам, как продавцу, для использования сервиса необходимо иметь персональный аттестат системы WebMoney Transfer. Конечно, проблема получения аттестата решаема, для этого создан специальный сервис «WM Паспорт — центр аттестации системы Webmoney Transfer» (https://passport.webmoney.ru/), но процедура платная, длительная и требует личного предоставления паспорта или нотариально заверенной копии паспорт-ных данных. Зато, получив персональный аттестат, можно не только пользоваться сервисом автоматизированного приема платежей, но и опубликовать информацию о наличии аттестата на своем сайте. Например, запись https://passport.webmoney.ru/asp/certview.asp?wmid=342489351 066 свидетельствует, что идентификатор 342489351066 действительно принадлежит мне, а фамилия, имя и прочие проверенные данные именно те, которые были заявлены.

Есть ли возможность принимать платежи и сразу предоставлять электронный товар без получения персонального аттестата? Да, есть. Для этого следует обратиться к какому-либо сервису-посреднику. Об одном из них расскажу подробней.

Сервис ROBOXchange.com

Этот сервис я выбрал как наиболее крупный, известный и проверенный временем. Он предоставляет услуги не только по поддержке приема платежей, но и по обмену электронных валют. Для регистрации электронного магазина следует обратиться к странице http://www.roboxchange.net/ (Merchant Service). Очевидно, что продажа товара через посредника предполагает отчисление ему определенного процента за услуги. Но зато продавать товар и принимать платежи можно сразу, да еще и свои реальные данные не светить, зарегистрировавшись под псевдонимом, например, Иван Иванович Иванофф. Если вы скажете, что честному человеку не от кого скрываться, а под псевдонимом обычно продают чужой электронный товар, то будете правы лишь отчасти. Например, по вполне понятным причинам псевдонимы используют авторы, пишущие на темы эротики, криминала, коррупции и другие острые и неоднозначно воспринимаемые общественностью.

Посмотрим, как на практике можно воспользоваться возможностями данного сервиса. Рекомендую предварительно прочитать правила пользования сервисом на http://www.roboxchange.net/ru/rules.html.

Выполняя процедуру регистрации, продавец указывает, в какой электронной валюте желает принимать платежи (например, в WMR — электронный эквивалент рубля в системе WebMoney Transfer). Покупатель может оплатить покупку, используя электронные валюты: WMR, WMZ, WME, WMU, USD e-gold, RUR Yandex, UAH imoney, WMR PayMer, WMZ PayMer, MoneyMail RUR. Несмотря на столь широкий выбор для покупателя, на счет продавца средства зачисляются в той валюте, которая ему нужна. При выставлении счета к оплате сумма автоматически пересчитывается с учетом комиссии посредника и затрат на конвертацию.

На сайте можно найти три работающих примера организации приема оплаты (Demo Магазин 1, Demo Магазин 2, Demo Billing) и выдачи товара. В примерах приведены варианты программирования магазинов на PHP, Perl и ASP (JScript).

Вот взятый с сайта пример — скрипт на PHP (http://www.roboxchange.net/demo_shop/vers1.asp?show=php).

Оплата заданной суммы (выбор валюты на сайте Продавца).

Продавец предоставляет покупателю возможность оплаты товара с заданной ценой в любой из валют, принимаемых ROBOXchange Cash Register. При оплате в любой валюте Продавец получит одинаковую сумму в заданной им валюте. На странице оплаты сайта продавца размещается код, генерирующий запрос к Cash Register. Cash Register возвращает в качестве ответа на запрос html-код формы (см. ниже), в ней указаны все валюты, в которых в данный момент можно оплатить заказ и цены в соответствующей валюте с учетом действующего на момент запроса курса обмена ROBOXchange.

//регистрационная информация

$mrh_login = «someone» //логин

$mrh_pass1 = «securepass1» //пароль1

//параметры магазина

$inv_id = 0; //номер счета

//описание покупки

$inv_desc = «ROBOXchange Cash Register Advanced User Guide»;

$out_summ = «0.01»; //сумма покупки

$shp_item = 1; // тип товара

//формирование подписи

$crc = md5(«$mrh_login: $out_summ:$inv_id:$mrh_pass1:shp_item =$shp _item»);

//вывод HTML-страницы с кассой

print ««

?>

Представленный выше пример скрипта на PHP позволяет продавать товар, но только в том случае, если на сайте есть поддержка PHP. Замечу, что многие сайты, расположенные на бесплатном хостинге, не поддерживают исполнение скриптов.

Кодируем линк

Если использовать скрипты не представляется возможным, существует альтернативный, хотя и не слишком хороший вариант.

Запишем HTML код:

Обратившись по этой ссылке, покупатель сможет оплатить (сколько платить — out_summ) товар (inv_desc) продавца (sbcomr1).

Недостаток очевиден — что мешает мошеннику в передаваемой браузеру строке «https://www.roboxchange.com/ssl/calc.asp? mrh=sbcomr1&out_summ=150&inv_desc =Kniga3 Lentay v prolete» заменить сумму 150 рублей на одну копейку 0.01? Правильно, технических препятствий к этому нет! Совесть как элемент нетехнический в данном контексте не рассматриваю.

В одной книге для начинающих интернет-коммерсантов есть рекомендация воспользоваться для маскировки ссылки программой Affiliate Defender (разработчик Jimmy D. Brown, http://www.nicheology.com/). Введем текст приведенной выше ссылки в окно программы и получим закодированный линк:

Комментарий из пособия: «Что же делает эта программа? Она переводит вашу ссылку в какую-то непонятную скриптовую абракадабру. И в итоге все работает, а вот самой ссылки не видно. Правда, здорово?.. Запустите текстовый редактор БЛОКНОТ. Вернитесь в программу Affiliate Defender и выделите мышкой всю абракадабру в большом окне. Теперь в меню Edit выбирайте команду Copy. Дальше вставьте в БЛОКНОТ весь скопированный кусок и сохраните файл с расширением htm. Допустим, вы назвали его pay.htm… Теперь ссылку удалите, а вместо нее пишите pay.htm. У вас должно получиться вот так: Вот и все. Теперь никакой мошенник вам не страшен».

Здорово-то оно здорово (люблю читать вдохновенно написанные тексты), а по сути как начнешь комментировать очередную защиту на основе скрипта, исполняемого на стороне пользователя, а не выполняемого под управлением сервера, так кроме народного «горбатого могила исправит» сказать по большому счету и нечего. Разве что припомнить «не гонялся бы ты, поп, за дешевизной», в том смысле, что раз уж решил заняться электронной коммерцией, то озаботься тем, чтобы на сайте можно было полноценно работать со скриптами. А поскольку на бесплатном хостинге все равно присутствуют те или иные ограничения на выполнение скриптов, от услуг платного хостинга никуда не денешься, хотя и дополнительный расход.

Естественно, ленивого и безграмотного «хакера» данная система кодирования ссылки поставит в тупик. Но если продавец решит торговать действительно дорогим товаром с помощью такой закодированной ссылки, результат может быть плачевным!

Подробную информацию о том, что и как кодируется, можно найти в сети Интернет (например, «Алгоритм кодирования» на http://www.webber.ru/articles/article.html?article_id=508). А если требуется просто раскодировать некий код, не вникая в детали, тоже нет проблем.

Раскодировщики можно найти на многих страницах Сети, из которых по оформлению и дизайну мне больше всего понравилась эта: http://razum.km.ru/rubriki/webdizain/webdizain13.shtml.

Введем полученный ранее с помощью программы Affiliate Defender код «скриптовой абракадабры» в форму — и вот он, результат.

Что за «хитрые» теги были добавлены к ссылке и затем закодированы вместе с ней программой Affiliate Defender, пояснять не буду, так как это достаточно очевидно. Лучше еще раз напомню, что, хотя в сети Интернет для заработка денег можно найти отличные сервисы и грамотно написанные руководства, не думайте, что без труда, собственных усилий и размышлений легко и просто освоить электронную коммерцию, такую простую на первый взгляд, но совсем не простую по сути.

Хоть и банально, но для дела всегда лучше, когда знаешь хотя бы немного больше, чем другие.

zp8497586rq