Платежи, удобные для продавцов: не идеальны, но лучше, чем раньше

По их словам, платежный механизм Bitcoin должен быть полностью переработан, чтобы сделать его более удобным для продавцов, однако CORE команда разработчиков работает с несовершенной системой.

Основная идея, лежащая в основеRequest на оплату Инициатива заключается в том, чтобы предоставить Bitcoin механизм для отправки проверенных платежей напрямую между людьми. Это T исключает транзакции из блокчейна, но обеспечивает дополнительный уровень безопасности между продавцом и покупателем. Это также делает платежи более удобными для пользователя.

Проблема с платежами в Bitcoin

В традиционной системе оплаты Bitcoin биткойны отправляются путем ручного ввода длинного, бессвязного буквенно-цифрового адреса в клиент Bitcoin . Некоторые клиенты позволяют сканировать QR-коды адресов.

«Технически это здорово, но для обычного человека это LOOKS как обезьяна, стучащая по клавиатуре», — говорит CORE разработчик Джефф Гарзик. Помимо того, что для обычного нетехнического специалиста его сложно понять или использовать, формат адреса в виде абракадабры делает возможным ряд атак. «Например, вы T знаете, действительно ли Bitcoin адрес, который я вам дал, мой», — отмечает он.

Есть опасность, что адрес неточный или просто мошеннический. Я мог бы выдать себя за известного законного продавца в сети или, возможно, отправить фишинговую атаку с просьбой о деньгах. Если бы вы попались на удочку и заплатили мне, ваши деньги бы пропали. В конце концов, платежи в Bitcoin необратимы.

Другая проблема с существующими платежами в Bitcoin заключается в том, что, хотя они постоянно регистрируются в блокчейне, их нелегко документировать, когда они происходят. В самой платежной информации нет закодированных метаданных, которые говорят, для чего они предназначены. Также нет информации об обратном адресе для целей возврата средств. Любые возвраты должны быть организованы отдельно. И если вы хотите немедленно подтвердить, что ваш платеж в Bitcoin достиг получателя, вам нужно получить от них отдельное подтверждение.

Лучший способ

Все это могло казаться разумным в 2009 году, но дела пошли дальше. Сейчас нам нужно что-то более надежное, утверждает Питер Вюйле, ONE из семи CORE разработчиков Bitcoin. «Почти во всех случаях вы уже посещаете сайт продавца, чтобы сделать заказ. Довольно странно, что теперь мы полагаемся на (медленную, ненадежную, дорогую и негибкую) одноранговую сеть, чтобы доставить ему платеж, в то время как мы могли бы просто отправить его ему напрямую (быстрее, дешевле, возможность добавлять метаданные к транзакции и, что самое важное, мгновенное подтверждение от продавца о том, что он получил платеж)».

Механизм платежных запросов попытается сделать именно это. Вместо того, чтобы отправлять платежи на громоздкий Bitcoin адрес, кто-то, кто хочет заплатить за что-то в биткойнах, может просто подождать, пока продавец отправит Request по электронной почте или через веб-сайт. Bitcoin клиент покупателя использует информацию, содержащуюся в платежном Request , для совершения платежа, что делает процесс оплаты более безопасным.

Платежные запросы используют цифровые сертификаты, чтобы попытаться решить эту проблему, точно так же, как веб-сайты используют их, чтобы доказать, что сайты принадлежат и управляются настоящими владельцами бизнеса.

В темные старые времена Интернета было легко зайти на веб-сайт, который, как вы думали, принадлежит определенной компании (например, www.microsoft.com), а потом попасть на мошеннический сайт, управляемый мошенником (возможно, www. m1cros0ft.com). Многие люди стали уязвимы для фишинговых атак из-за этой уязвимости. Поэтому отрасль ввела цифровые сертификаты. Сайты выдавали эти сертификаты, которые были получены от доверенных сторонних компаний, называемых центрами сертификации. Браузеры искали сертификаты и выдавали ошибку, если T находили их.

Цифровые сертификаты в платежах Bitcoin

Разработчики CORE хотят использовать ту же базовую предпосылку для платежей. Торговец отправит покупателю Request на оплату, подписанный цифровым сертификатом. Он может включать в себя такую ​​информацию, как дата истечения срока действия платежа, данные, специфичные для продавца, такие как номер счета, текстовое примечание и URL для отправки платежа. Ранее ничего из этой информации не было доступно в стандартном платеже Bitcoin , потому что T было Request на оплату. Покупатель просто отправлял биткойны в эфир, надеясь, что они попадут к нужному человеку.

В новой системе клиент будет отправлять свой платеж продавцу, закодированный с дополнительной информацией, включая некоторую информацию из платежного Request в качестве ссылки, а также адрес для возврата средств на случай, если продавцу потребуется вернуть средства.

Это все очень по-взрослому, и это то, в чем Bitcoin давно нуждался, поэтому он и находится на чертежной доске в течение последних года или двух. Но система, на которой он будет построен, далека от совершенства, признают CORE разработчики.

Повышение безопасности SSL

Сертификаты трудно сделать хорошо. Что произойдет, если сертификат окажется поддельным, как это произошлоздесь,здесь, и здесь? Что произойдет, если сертификат будет отозван?

«В целом, инфраструктура доверия открытого ключа — очень сложная проблема, и, к сожалению, для нее нет серебряной пули. SSL PKI — это своего рода худшая из существующих систем, после всех остальных», — признает Вюйле.

SSL — это разговорное название X.509, стандарта сертификата, который будет использоваться для механизма Request платежа. Эксперты давно критикуют его за недостатки. Дэн Камински и Мокси Марлинспайк — полубоги в сфере безопасности. Они сорвал крышкуУязвимости безопасности X.509 на печально известной хакерской конференции Defcon в 2009 году.

Другие проблемы с X.509 включают отзыв сертификатов. Сертификаты могут быть отозваны по ряду причин, включая предоставление держателями сертификатов поддельных документов или совершение других обманных действий в сети. X.509 использует систему, называемую Online Certificate Status Protocol (OCSP), чтобы увидеть, какие сертификаты были отозваны.

«Эксперты сходятся во мнении, что система отзыва сертификатов (OCSP) T работает», — говорит ведущий разработчик Гэвин Андресен. «У центров сертификации просто T достаточно сильных стимулов инвестировать в инфраструктуру для поддержки миллионов пользователей, постоянно запрашивающих их серверы OCSP и спрашивающих: «Этот сертификат отозван? Нет? А как насчет этого сейчас?».

Принятие против безопасности

Итак, по крайней мере двое из семи CORE разработчиков признают, что в X.509 есть трещины. Зачем они его используют? Нравится вам это или нет, практически весь Интернет использует SSL, и на практике у CORE разработчиков T выбора в этом вопросе. Если вы интернет-торговец, у вас, вероятно, есть сертификат SSL. Даже если бы у CORE команды разработчиков были возможности решить проблему инфраструктуры открытого ключа и создать лучшую мышеловку, им пришлось бы заставить людей использовать его. Достаточно сложно заинтересовать торговцев Bitcoin в первую очередь, не заставляя их снова регистрироваться для получения еще одного сертификата.

Ничто в технологиях не идеально, и, как говорит Андресен, интернет-торговцы также T полагаются на OCSP на практике. X.509 по-прежнему более безопасен, чем используемые сегодня Bitcoin адреса. Любой шаг вперед лучше, чем ничего.

Преимущества платежных запросов

Лучший платежный механизм принес бы значительные выгоды Bitcoin. T следует недооценивать улучшения пользовательского опыта. Андресен хотел бы, чтобы в ONE прекрасный день адреса Bitcoin , используемые в настоящее время, исчезли навсегда. «Надеюсь, в конце концов», — говорит он. «Адреса Bitcoin не очень удобны для пользователя».

По словам CORE разработчика Нильса Шнайдера, Bitcoin адреса T будут официально отменены, но они, вполне возможно, будут использоваться реже при работе с торговцами, особенно учитывая, что в настоящее время им приходится генерировать отдельные Bitcoin адреса для каждой транзакции.

«На данный момент использование разных адресов для каждой транзакции является предпочтительным способом KEEP транзакций. Это означает создание и хранение закрытого ключа для каждой транзакции», — объясняет он. «С платежными запросами вы можете использовать один и тот же ключ несколько раз и все равно иметь возможность различать разные транзакции и знать, какой клиент отправил деньги».

По словам Вюйля, на стандартных Bitcoin адресах уже построено много инфраструктуры. Это большая инерция, с которой приходится иметь дело. Но он надеется, что превосходное качество обслуживания клиентов оправдает все усилия. «Давайте сначала сосредоточимся на том, чтобы заставить электронные бизнес-транзакции использовать ее, а потом посмотрим, что будет дальше».

Итак, когда все это, скорее всего, произойдет? CORE разработчики T берут на себя больших обязательств. Они нацелены на платежные запросы в Bitcoin v0.9, но это не окончательная гарантия, говорит Вюйле. «Мы делаем релизы по мере необходимости. В случае важного обновления безопасности могут быть новые релизы серии 0.8.x до 0.9», — говорит он. «План состоит в том, чтобы включить поддержку платежного протокола в 0.9, но если это потребует значительных и неожиданных задержек, возможно, 0.9 можно будет выпустить без этого».

Payment Requests может столкнуться с проблемами, но это хорошо для Bitcoin, и это смелый шаг от печально известной консервативной команды разработчиков. Все, что может сделать процесс отправки Криптовалюта между сторонами более безопасным и эффективным, будет хорошим делом.