De API specificeert hoe webapplicaties betaalmethodes weergeven en wat er gebeurt als een gebruiker voor een methode kiest: hoe de betaal-app wordt gestart en welke data er wordt ontvangen. Dat komt erop neer dat de betaalmethode informatie ontvangt uit de browser en bijvoorbeeld pasgegevens vast invult.

Tijdslot omzeild

Er zijn uiteraard mechanismes ingebouwd om te voorkomen dat malafide websites gevoelige informatie kunnen aanspreken, maar die zijn niet toereikend, schrijft onderzoeker Lukasz Olejnik. Zo heeft Chrome een beperking dat de informatie maar eens in de dertig minuten kan worden aangesproken, om aanvallen te voorkomen die meerdere opties uitproberen. Maar dat tijdslot kan worden omzeild door meerdere iframes te gebruiken die elk een andere iteratie proberen.

Webstandaardenorganisatie W3C noemt het ontwerp van de API sinds vorige maand stabiel en werkt nu aan interoperabiliteit, zodat iedereen er mee kan werken. Alle grote browsers werken aan implementatie: Chrome, Safari, Edge, Firefox, de browser van Samsung en ook Facebook werkt eraan om de Payment Requests-API te kunnen gebruiken.

Patch komt eraan

Chrome en Edge hebben de API inmiddels geïmplementeerd, meldt Olejnik, en WebKit en Firefox volgen binnenkort. Het Chrome-team werkt al een tijdje aan een patch die moet worden afgeleverd op 13 oktober, enkele dagen voor Chrome 62 live gaat.