昨天上午在手机上把玩支付宝的客户端,尝试给同事付一笔钱。耐心输入许多信息后,被告知,“数字证书用户暂不能支付”。不禁哑然,“手机在线支付,随时随地体验电子商务交易的快乐”,如果你装了数字证书,恭喜你,你没法体验了。
写文章前我专门查阅了一下数字证书的定义,在百度百科和Wikipedia都有,百度百科的词条更详细些。如今的支付宝和财付通都引入了数字证书这个东西。财付通的也许是用户太少,没有见到什么讨论。但支付宝的数字证书用户可真没少吃苦。我在IE7和IE8中导入证书都遇到了奇怪错误,大辉也专门针对IE8写过文章。
更严重的是,如今数字证书的作用范围仅限于Windows+IE,这让Windows+Firefox,Linux+Firefox甚至MacOS+Safari这些搭配都玩不转了。一起玩不转的还有手机版,如果两年后Google的Chrome OS——这个以Web为中心的OS流行起来(我知道它也是基于Linux),哪怕安全控件已经开发了一箩筐,数字证书,依然是绕不过的坎。
不如回头想想,数字证书是否安全?有多安全?是否有替代的解决办法?答案也并不复杂,不如考虑一个被广泛使用的“手机锁”(也被叫做“手机动态口令”等)。当绑定手机后,在进行一些重要操作时,网站会随机发送一段验证码到用户的手机,用户必须输入此验证码才可以继续操作。这个办法看起来土鳖,但已经非常保险。要知道,招商银行的支付网关,如今也支持这种方式的支付。一家在互联网方面做得最出色的银行(没有之一),选择了这样的策略,多少值得我们思考。
有人会说,数字证书技术如何先进,采用的RSA加密如何优越,高精尖就一定合适?或者说,那些把Linux玩得风生水起的Geek,有多少人会需要数字证书这样的东西来保证它们的安全?分享一个“古老的”小故事,我想大家都看过:
联合利华引进了一条香皂包装生产线,结果发现这条生产线有个缺陷:常常会有盒子里没装入香皂。总不能把空盒子卖给顾客啊,他们只得请了一个学自动化的博士后设计一个方案来分拣空的香皂盒。博士后拉起了一个十几人的科研攻关小组,综合采用了机械、微电子、自动化、X射线探测等技术,花了几十万,成功解决了问题。每当生产线上有空香皂盒通过,两旁的探测器会检测到,并且驱动一只机械手把空皂盒推走。
中国南方有个乡镇企业也买了同样的生产线,老板发现这个问题后大为发火,找了个小工来说:你他妈给老子把这个搞定,不然你给老子爬出去。小工很快想出了办法:他在生产线旁边放了台风扇猛吹,空皂盒自然会被吹走。
已经上马数字证书的第三方支付公司,应该是骑虎难下了。还没有上当的公司,可以仔细考量一下。复杂的做法,并不是把事情变简单的唯一途径。
PS:本人是百付宝的员工,文中观点仅代表个人非客观意见。
PS2:支付志这篇文章里引用的图片,和我的手机一样,都是台版的S1 。
UPDATE: 本周,腾讯公司推出了基于Firefox的数字证书。不知道alipay会不会跟进。拭目以待。 -2009.9.20
July 10th, 2009 by 张磊
本周Paypal的“开放API”也算是火了一把;Paypal一直都有开放的API,但今次泄露出来的,确实有所不同。描述这个Adaptive Payments的文档可以在techcrunch的文章中找到。
这两天仔细看了一下该文档。在Paypal将要推出的Adaptive Payments中,描述的内容是如下三种支付业务(示例图片就不引用了,请大家自己去看文档):
Simple payments:Paypal上已有的、传统的支付方式,把钱从一个账户支付到另一个账户。
Parallel payments:把钱从一个Paypal账户同时支付到多个Paypal账户。也就是说,A可以通过API同时向B和C付钱。例如,我有一个购物网站,可以让用户付钱时把10%给我,剩下90%给我的供货商。
Chained payments:把钱从一个Paypal账户A支付到另一个Paypal账户B,B留下一部分,再将余下的支付到账户C、D、E……顾名思义,称为chained payments。再引用上面购物网站的例子,可能需要将收入的5%给销售人员,之后将剩下的95%,供我和供货商分账。
这份长达63页的文档,用于陈述这些payments的概念、可能的应用场景、扣费规则、以及api细节。仔细想一下上面的三种业务不难发现,在simple payments的基础上很容易包装出parallel payments;而有了simple payments + parallel payments,就是一个山寨版的chained payments了。Paypal这么做的苦心,还是在于将业务前置,让API的使用者无需操心利益分配、资金结算、打款退款的细节。
也有人说Paypal是感受到了Amazon FPS的压力,于是特地跑去看了一下FPS。一进去就看到这么一句:
Amazon Flexible Payments ServiceTM (Amazon FPS) is the first payments service designed from the ground up for developers.
联想到Paypal祭出了x.com,标题是“/* GEEK OUT WITH US */”,让我觉得,Paypal和Amazon,可能都受Apple App Store的刺激了 。如果能有国内的互联网公司关注国内的Geek,那就太好了。
July 7th, 2008 by 张磊
今天是入职第二天,我几乎把所有的时间都花在看各种文档和新手指南上。到下午终于看得有些眉目。虽然这里是Java不是PHP,但很多在Web开发上的思路是一致的。说到底,还是体力活。
晚上思考了一下,既然在支付宝了,不然就写写对国内支付行业的一些看法。全都是我个人的想法,和支付宝公司没有任何关系。
今天先说说这个购物返现,这也是以前BuyRen的老本行。
购物返现就是,你通过某个网站到一些指定的B2C网站买东西,对于成功的订单,你可以得到一定比例的返现,相当于在享受B2C网站折扣的同时,还有个折上折。画个简图表示:
可见,购物返现整个过程,和电子支付并无多大关联。事实也是如此,从2004年下半年开始,购物返现初现于一些论坛,buyren论坛也是其中之一。由于这个东西没什么技术门槛,竞争很快趋于白热化。鼎盛之后就是洗牌,buyren的对手一家家倒下去。但不可否认,这一波浪潮推动了CPS的发展。那时的我天真地以为CPS是从来就有的,如今回头看看,我接触CPS的时候,中国互联网刚刚从SP中走出来。
做购物返现有多少甜头?首信易支付的返现比例对比BuyRen其实毫无优势,我们看看另一家快钱:
消费电子类产品:2.5%
厨具类产品:4%
除消费电子类产品、厨具类产品外的其他产品:11%
这个比例和buyren给出的就一致了。而从上游卓越亚马逊拿到的,往往可以高达14%,也就是说,每实现100元的订单,乐观点的话,快钱可以赚2、3元。
但这件事操作起来就不乐观了,因为从用户下订单到订单得到b2c网站的确认,需要几十天时间。想想如果支付宝提现需要10天,谁还会用支付宝?同时,由于业务的特殊,很难通过程序来完成所有操作,需要配备专人。特别是,如果想做到一定的量,有持续而不是脉冲的订单,还真是少不了一个论坛。
对于这些做在线支付的公司涉足购物返现,我觉得是重压之下的畸形发展,既非横向也算不上纵向。明天我会写点靠谱的,比如信用卡还款。
