Наверное, ни для кого не секрет, что WebMoney в Рунете де-факто стали платежным средством номер один. Многочисленные сервисы WebMoney.ru создали благоприятные условия для максимального ее распространения в среде Интернет-пользователей. Уже никого не удивляет, что в качестве оплаты на многих наших сайтах принимаются учетные единицы (именно учетные единицы, а не электронные деньги) гривны — WMU, рублей — WMR, долларов — WMZ и евро — WME. Ныне для того, чтобы произвести оплату за выбранный товар или услугу, достаточно набрать в своем кипере (Keeper) номер кошелька и указать сумму платежа. Но рано или поздно рутина ручной обработки счетов заставит задуматься любого веб-мастера или предпринимателя. А действительно, можно ли как-то автоматизировать процесс принятия-обработки платежей?

Судя по мифам, гуляющим по Рунету, бизнес «на автопилоте» давно волнует умы веб-мастеров. В угоду именно таким потребностям достаточно давно был создан сервис http://merchant.webmoney.ru, который позволяет в автоматическом режиме покупателю передавать, а продавцу принимать на свой кошелек учетные единицы WM (в дальнейшем, для удобства, будем их называть деньгами). В самом простом виде для работы с сервисом вам понадобится всего 3 веб-страницы: страница с кнопкой платежа, страница успешного совершения платежа (success.htm) и страница неудачного платежа (error.htm). Казалось бы, чего проще — нажал человек кнопочку, программа автоматически запустила кипер, ввела все необходимые данные, покупателю остается только нажимать «оплатить» да «подтверждаю». А дальше уже по сценарию: операция прошла успешно — к success.htm, неудачно — к error.htm.

Но вот незадача, при всем своем удобстве сервис, позволяя получить деньги, не решает (да и не должен решать, по определению) вопросы, связанные с доступом к электронным продуктам (программам, играм, паролям, сервисам и т.п.). А потому, приняв деньги и адресовав покупателя к success.htm странице, например, с электронной книгой, вы не застрахованы от того, что рано или поздно кто-то из неблагонадежных покупателей где-нибудь в чате раскроет адрес вашей страницы с е-книгой (или с программой), и тогда доступ к вашему продукту будет открыт для всех желающих.

Значит, надо что-то придумать

Но давайте обо всем по порядку — а начнем с регистрации. Попав на http://merchant.webmoney.ru, вы, прежде всего, должны будете пройти процесс авторизации. Если у вас стоят программы, ограничивающие доступ к вашему компьютеру посредством Active X, лучше их перед авторизацией отключить. Если же при отключении этих программ или даже их отсутствии вы все равно не можете пройти процесс авторизации, то рекомендую вам запустить предложенный на титульной странице сайта plugin, который автоматически настроит ваш компьютер для работы с этим сервисом. Да, чуть не забыл, во время процесса авторизации ваш WebMoney Keeper должен быть запущен для взаимодействия с сервисом. Итак, пройдя авторизацию, вы должны увидеть слева вверху под основным логотипом WebMoney ваш WM ID, только после этого вы сможете перейти к настройке сервиса. Для того, чтобы провести настройку по простой, 3-х страничной схеме, необходимо зайти в форму настроек, кликнув Настройки -> Web Merchant Interface.

Попав на страницу настроек, вы увидите номера существующих в вашем кипере кошельков и сумм денег на них. Далее вам следует определиться, с какой из валют вы будете работать (хоть никто не мешает вам сделать несколько отдельных страниц для каждого из доступных вам кошельков) и соответственно напротив этого кошелька кликнуть Настроить.

На открывшейся странице «Настройки торгового кошелька» необходимо сделать основные настройки кипера. В первую очередь указать ваше торговое имя, или, попросту говоря, название магазина. Это название будет отображаться на странице оплаты. Если для вас это имеет большое значение, то здесь можно написать название вашей фирмы или магазина, например, «Глория Лтд.», в противном случае просто укажите здесь адрес своего сайта. Следующее поле для заполнения Secret Key используется только в том случае, если вы имеете возможность работы с SSL ( Secure Socket Layer) — протоколом, который позволяет через браузер определить подлинность веб-сервера, а также обеспечить надежный «персональный» канал связи между браузером пользователя и сервером, на котором расположен сайт. Проще говоря, это поле должны заполнять только те, кто будет переадресовывать покупателя после оплаты на страницу, начинающуюся с https://. Сразу скажу, что регистрация SSL для собственного сайта — платная услуга, и разговор о ней выходит за рамки этой статьи, потому будем считать, что нам это поле не нужно и оставим его пустым. В поле Result URL можно поставить ссылку на страницу, на которую будут предварительно высылаться данные с merchant.webmoney.ru, что можно использовать как для статистики, так и для контроля доступа. Возможно, это поле имеет большое значение для владельцев крупных веб-магазинов, товаров с высокой ценностью и т.п. Но, как мне кажется, для большинства предпринимателей-одиночек или веб-мастеров с неглубокими знаниями веб-программирования такая информация излишня — тем более, что дальше вы увидите, что для контроля можно использовать и другие механизмы. В этом поле помимо URL можно указывать e-mail, что, на мой взгляд, более оправданно. Укажите в этом поле mailto:ваш@e-mail , и информация о каждой сделке будет приходить к вам на почтовый ящик. Для приема данных я рекомендую открыть отдельный почтовый ящик, который будет служить для вас архивом операций. После каждой оплаты в письмах с темой «merchant notification» к вам будет приходить информация о транзакции, где среди прочей информации будет уникальные для каждой сделки номер транзакции (LMI_SYS_TRANS_NO), инвойса (LMI_SYS_INVS_NO), а так же дата со временем (LMI_SYS_TRANS_DATE). Именно эта информация позволит вам отличать одни сделки от других и в случае возможных претензий выяснять истину.

Но вернемся к форме. Вам осталось заполнить еще несколько важных полей.

Во-первых, это поле Success URL, в котором указывается адрес страницы вашего сайта, на который будет автоматически перенаправлен покупатель в случае успешного завершения сделки. Рядом с полем есть выпадающее меню, где можно выбрать метод вызова этой страницы. Среди возможных вариантов три: POST, GET, LINK. Ну, если первых два метода не представляют собой трудности для любого, даже начинающего веб-мастера, то, думаю, метод LINK тоже не должен вызвать затруднений в использовании, так как аналогичен простому клику по ссылке или простой переадресации страницы. Хочу обратить ваше особое внимание на то, что при использовании метода POST в адрес страницы будут переданы скрытые данные о сделке, фактически такие же, что будут высланы вам на указанный почтовый ящик.

Во-вторых, поле Fail URL, в котором следует указать страницу неудачного завершения сделки. Не важно, какая причина будет стоять в отказе приема платежа, но важно, чтобы покупатель получил четкое указание на это и, возможно, рекомендации по правильному проведению платежа. Поэтому страница ошибок не менее важна, чем все остальные. Но все же я хочу вас предостеречь от использования в качестве Success и Fail URL одной и той же страницы, пусть и написанной на одном из скриптовых языков. Вы должны помнить, что всегда можно найти методы обхода скриптовой защиты и получить доступ к вашей программе даже через страницу ошибок. Кстати, здесь так же, как и в Success URL, есть выпадающее меню, в котором можно выбрать подходящий для вас метод. Если вы будете обрабатывать данные ошибки одним из скриптов, то, конечно, лучше выбрать метод POST или GET — если же причины ошибки вас мало интересуют, тогда смело ставьте LINK и адресуйте покупателя к какой-нибудь статичной странице. Например, к error.html, где будут указаны не только причины появления данной страницы, а и рекомендации по поводу того, как лучше произвести оплату или повторить регистрацию.

В-третьих, это метод формирования контрольной подписи. Не вдаваясь в подробности, сразу скажу, что лучше остановиться на MD5.

Ну и, в конце концов, надо выставить такие атрибуты, как режим работы ( текстовый или рабочий), активность вашего мерчанта ( «вкл» или «выкл»), а так же выставить галочки в необходимых полях «Позволять использовать URL, передаваемые в форме» и «Высылать оповещение об ошибке платежа на кипер». Сохранив внесенные данные, вы получите готовый к приему merchant.webmoney сервис. Вам останется сделать только две основных страницы Success URL и Fail URL. Ну, если со страницей ошибок проблем возникнуть не должно, то вот со страницей успешного завершения сделки (в дальнейшем success-page) не все так просто.

Если вы продаете онлайн продукты, такие как программы, пароли доступа, информационные продукты, платный контент и т.п., то прямой доступ к ним на success-page может похоронить весь ваш проект. Что там скрывать, в Рунете достаточно много нечистых на руку клиентов и партнеров, которые не замедлят воспользоваться «дырой» в вашем проекте. Достаточно одному из них сообщить, что доступ к вашему продукту возможен в обход оплаты, напрямую на success-page.htm, как число тех, кто будет платить за ваш продукт, снизится до самого минимума. Но, как известно, безвыходных ситуаций не бывает. У многих аналогичных зарубежных сервисов (PayPal.com, 2Checkout.com, ClickBank.com и т.п.) есть рекомендации по поводу того, как настроить success-page чтобы максимально защитить информацию от несанкционированного доступа. Как я ни искал на merchant.webmoney.ru, но ничего похожего не нашел — может, плохо искал, а может, разработчики специально не дали таких рекомендаций, чтобы снять с себя всякую ответственность за возможные проблемы.

Как бы там ни было, пользуясь сервисом 2checkout.com, я попытался решить эту проблему следующим образом. Там рекомендован шаблон cgi-скрипта на Perl, который использует переменную HTTP_REFERER. Теоретически реализация скрипта выглядит так: после оплаты сервер переадресует браузер покупателя на ваш скрипт, тот в свою очередь определяет — если браузер перенаправлен с нужного адреса, значит все ОК, можно разрешать доступ, иначе — отправка на страницу ошибок. На самом деле это не самый совершенный метод доступа к онлайн продуктам, так как можно обойти защиту, создав специальный скрипт, который в качестве отправного будет указывать нужный URL. Но с чего-то все же надо было начинать. Я попытался прочесть эту переменную скриптом, чтобы на основе передаваемых данных построить полноценный скрипт, но у меня ничего не вышло. На многочисленные мои запросы в службу поддержки я так и не получил вразумительных ответов. Дело в том, что есть программы и серверы, способные блокировать эту переменную, а потому затрудняющие идентификацию браузера посетителя. Пришлось возвращаться к методу POST для success-page. Я уже писал, что с помощью этого метода на success-page передаются те же данные, что и потом пересылаются на ящик. Так вот, опираясь на переменные (LMI_SYS_TRANS_NO, LMI_SYS_INVS_NO, LMI_SYS_TRANS_DATE), уже можно построить скрипт, способный хоть как-то блокировать все несанкционированные запросы страницы. На Perl’e в простейшем виде конструкция скрипта будет выглядеть таким образом:

if ($FORM{'LMI_SYS_INVS_NO'} ne “”||$FORM{'LMI_SYS_TRANS_NO'} ne “” ||$FORM{'LMI_SYS_TRANS_DATE'} ne “”) #если ни одна из переменных не пуста, тогда переходим к операции… {#операции для удачного обращения к скрипту} else #иначе {#операции для неудачного обращения к скрипту}

Конечно, полноценной защитой такой метод считать нельзя, но с его помощью можно ограничить доступ к онлайн продуктам всякого рода ламеров. Если же вы достаточно хорошо владеете одним из языков веб-программирования, то вполне сможете организовать предварительную пересылку данных (вместо отправки на e-mail) к скрипту, сохранение их во временном файле с последующим сравнением с данными, поступившими на success-page. Более того, некоторые из данных можно использовать в качестве ключа. Например, на своем сайте до момента оплаты вы можете сформировать скриптом индивидуальный номер счета для каждой покупки ( PIN), сохраняя его вместе с IP-адресом покупателя в специальном файле. После прохождения процесса оплаты и переадресации на success-page можно сравнить входящие данные PIN и IP с ранее сохраненными и в случае полного совпадения предоставить доступ к продукту.

Если же ваш хостинг не предполагает использования разного рода скриптов, вы можете воспользоваться другим сервисом http://merchant.webmoney.ru — Click&Buy Merchant Interface. Скажу больше, этот метод вы с легкостью можете использовать в своих электронных книгах и программах, распространяемых на условиях shareware или даже для ручной обработки небольшого количества платежей. Для инициации платежа с использованием Click&Buy Merchant Interface продавец должен сформировать на своем сайте (или в своей программе) ссылку в специальном формате. Адрес ссылки зависит от версии кипера покупателя ( WM Keeper Classic или WM Keeper Light) и используемого им языка, но в любом случае можно сделать даже несколько ссылок для разных версий киперов. Хочу вас сразу предупредить, что общий размер ссылки имеет ограничение, накладываемое протоколом HTTP. Кроме того, многие браузеры обрезают строки длиной больше 200–500 символов. О формате ссылок для разных киперов вы сможете узнать подробнее на сайте в разделе Инструкции, который, кстати, я в обязательном порядке рекомендую прочитать всем, кто решил воспользоваться сервисом Click&Buy Merchant Interface. Ну, а пока я предлагаю вкратце ознакомиться с форматом для WM Keeper Classic.

Алгоритм ссылок для оплаты через Webmoney строится по принципу ссылок методом GET. То есть, в ссылке указывается URL success-page продавца, а за ним, посредством добавления «&» и значений переменных, передаются обязательные переменные, такие как: кошелек продавца (purse), сумма за товар, покупаемый по ссылке (amount), метод передачи информации об оплате на веб-сайт продавца — выбрать можно между POST или GET (method), краткое описание товара или услуги (desc), тестовый или рабочий режим оплаты (mode). Но самое главное, что для автоматического вызова кипера и возможности проведения сделки через него ссылка должна начинаться с wmk:paylink (только для киперов Classic). В HTML’е ссылка выглядит так:

<a href="wmk:paylink? url=<http://www.ваш_сайт.com/cgi-bin/success-page.pl> &purse=R111111111111 &amount=1.5 &method=POST &desc=текст платной ссылки для теста &mode=test">текст ссылки</a>

Думаю, не стоит использовать метод Click&Buy Merchant Interface для автоматической передачи онлайн продуктов через статичную html-страницу после оплаты по ссылке только лишь из-за того, что любой человек может сохранить код ссылки и заменить сумму платежа в меньшую сторону в обычном блокноте. Как вы понимаете, если ваша success-page не будет обрабатывать получаемой после такой операции информации, то ваш продукт будет доступен всем. После оплаты по ссылке по указанному продавцом адресу будет выслана такая информация: Id покупателя; уникальный номер операции в системе учета WebMoney Transfer; кошелек, на который произошла оплата; кошелек, с которого выполнялась оплата; сумма платежа; краткое описание товара или услуги; дата платежа; подпись (MD5) квитанции об оплате; режим оплаты тестовый/рабочий. Все указанные параметры должны быть проверены на соответствие и только после этого можно предоставлять доступ к продукту.

Как видите, автоматизировать процесс принятия платежей не так уж и сложно, вам только остается решить, какой из методов использовать.