Citat:
Ursprungligen postat av emilv
Men vad är "rätt sätt"? Enligt Visa själva är det tydligen att använda en iframe, och säkert blir det då för slutkunden? Det går inte att se att innehållet i en iframe skickas över SSL, än mindre att på ett lätt sätt se vilken domän innehållet laddas ifrån och vem som står på SSL-certifikatet.
Nu har jag aldrig heller använt 3D Secure på grund av den kritik det fått - kanske har svenska banker löst det på ett bättre sätt där man ser deras domännamn och SSL-certifikat? |
1. Ett Smartcard-krav på kortet gör att transaktionen bara blir giltig en gång + att det inte går att handla med kortet även om någon skulle sno kortnummret.
2. Blanda ej HTTP & HTTPS. Shopägarens betalsida måste ha HTTPS om man vill att kunden bara ska se en domän (och ladda iFramen på rätt sätt), detta ser även lite proffsigare ut. Om shopägaren inte har HTTPS på betalsidan kan man skicka kunden vidare till PSP:ns HTTPS domän, vilket kan leda till förvirring.
Men den viktigaste åtgärden är punkt 1.