Как защититься от несанкционированных платежей внутри мобильных приложений?

Подробный разбор причин такой этической дилеммы был приведен в блоге Imena.UA, но мы хотели бы сосредоточиться на другом, а именно на самой механике, которую Петерсон раскритиковал.

«In-app purchases» (покупки товаров, услуг или цифрового контента в приложениях) давно стали популярным инструментом приобретения товаров, услуг и цифрового контента для подростков и молодёжи. Этично ли продвигать эти инструменты совершения платежей в тех случаях, когда речь идёт о совершении покупки с банковской карты, которая принадлежит не самому тинейджеру или студенту, а — скажем — их родителям?

Как защищаются компании

Наученные горьким опытом исков от рассерженных родителей, у которых с кредиток пропали немалые суммы из-за детей-геймеров, и Apple, и Google создали «промежуток авторизации»: механизм этот позволяет в течение ограниченного времени приобретать платные приложения или товары / услуги / дополнения внутри самих приложений без ввода логина и пароля от аккаунта в магазинах App Store или Google Play. Как только время истекает (от 15 до 30 минут), для совершения покупки надо будет повторно ввести логин и пароль.

Хотя даже эту механику защиты пользователи (да и сами разработчики) оценивают скептически (мол, пароль можно и подсмотреть), однако она снижает вероятность несанкционированных покупок в магазине приложений.

Как может защититься сам разработчик

«Защита от дурака, ребенка и шопоголика» не помешает и на уровне самого приложения, для чего мобильному разработчику, конечно, придется постараться.

К примеру, можно ввести верификацию по возрасту или кодовым фразам, защите при помощи условной «капчи» перед совершением оплаты внутри приложения.

Второй метод — внести своё приложение в более высокую возрастную категорию (и кстати, автор оригинальной статьи настаивает на том, что игры с покупками внутри, а также медиаприложения с подобной функциональностью вообще не должны попадать в разделы, доступные детям). С появление функции «родительский контроль» в рамках популярных платформ дистрибуции мобильных приложений задача модерации доступного контента упростилась. Но это не значит, что сам разработчик должен игнорировать выставление возрастной категории, когда отправляет своё мобильное приложение на модерацию.

Что делать, когда хочется денег

Игровые разработчики и создатели интерактивных приложений с медиаконтентом как правило зарабатывают на покупках внутри приложений, если отдают их по модели «условно-бесплатного» решения.

Здесь снова в силу вступает либо верификация возраста пользователей перед совершением операции, либо внесение приложений в самом магазине в категорию с более высоким возрастным цензом (18+, 21+); либо автоматический выход из приложения на страницу в магазине / на платформе дистрибуции, где надо будет вводить логин и пароль перед совершением оплаты с привязанной карты. Последний метод не лишен «костылей», но по крайней мере защищает от вероятности, что ваш пятилетний ребенок с айпадом в руках купит боевых покемонов на пару сотен долларов без вашего ведома.

Исключения из правил

Бизнес игровой разработки переживает настоящий «бум», а суммарная стоимость рынка оценивается более чем в $50 млрд. Исключения составляет разработка решений для взрослой аудитории (всякие платные симуляторы козлов и порнотетрисы остаются на совести самих разработчиков, если помещены в категорию 21+).

Исключением также являются мобильные приложения платежных сервисов и стартапов, интернет-магазинов и бизнес-проектов, где напрямую предусмотрены транзакции электронных денежных средств, работа с банковскими картами или иными средствами совершения платежей. Понятно, что такими инструментами маленькие дети и подростки вряд ли пользуются; но нельзя исключать вероятность, что ребенку в руки попадет приложение с авторизацией родительского аккаунта и доступом к деньгам. Защититься от такого механизма несанкционированной покупки или финансовой операции могут только сами родители, если перестанут разбрасывать свои айподы, айфоны и айпады где ни попадя, сделают пароль достаточно сложным для подбора или станут использовать Touch ID (в случае с iPhone последних нескольких поколений).

А как вы относитесь к платежам внутри мобильных приложений? Покупаете ли в приложениях цифровой контент, лоты и различный «инвентарь» для игр и своиз персонажей? Как бы вы хотели реализовать защиту от несанкционированных платежей?