Гарантируете что менее популярные сервисы не ведут себя так же?
Потенциальные видимые проблемы:
Приложению нужно _только_ NFC и хоть какой нибудь интернет и все?
Что будет если у клиента активен VPN? Сейчас в России...не так уж маловероятно. Как на это отреагирует ваш сервер?(ВТБ со своим банковским приложением сделали интересно - если просто включен любой VPN - шторка с сообщением, если при этом нет связи с сервером (по любой причине) - блокирующий экран с кнопкой отключить VPN (и она работает))
Что будет если у клиента еще и работающий через VPN адблокер? В случае с например Adguard'ом это означает еще и сертификаты MITM в хранилище и локальный MITM. Для известных и важных случаев они прописывают сами исключения + может прописать пользователь если захочет. У вас что будет? все будет работать и это НЕ повлияет на безопасность решения? Воплы про отсутствие связи? Клиент то знает что связь есть и работает в других приложениях а значит - глючит ваше приложение, если ваше приложение так работать не может и нет внятной диагностики хотя бы и прямой инструкции что надо отключить временно - вопросы пойдут к арендодателю а он будет очень рад им.
Как насчет устройств без Google Play Services/c извращенно-установленными сервисами? Да хотя бы на Huawei как ставить приложение? В AppGallery оно есть или надо через GBox? А с GBox оно работает? А версия в RuStore будет нормально на тех Huawei работать?
Какие разрешения приложение просит? Есть ли сразу внятное объяснение зачем (не все ж кликают да - согласен) и что будет если их НЕ дать?
Кстати а что с телефонами с кастомной прошивкой/рутом? Как в плане безопасности решения так и удобства клиентов(и нет - "мы это блокируем" ответ нехороший - клиент в самый неподходящий момент получает нерабочее приложение а арендодатель вопросы на тему что за бред, ну и если решение будет популярным - способы отломать найдут, вот только если защита будет слишком хорошой могут найтись желающие отучить тем же способом как СБПэй отучили - magisk-модуль кастомный, получится очень "безопасно")
Вообще - идея очень хорошая.
Не все покупают железо ради понтов. Иногда - то что реально по каким то хотя бы формально-логичным техническим причинам нравится.
Прикольная и очень древняя. В разных вариациях.
Гуглим например что такое хавала.
Из недостатков известных: торговый баланс все же должен быть как то выровнен, регуляторы очень много где такое вот не любят потому что внезапно проконтролировать такое...сложно. Тут похоже вариант который чуть лучше контролируется за счет того что местные банки в схеме есть и местных контрольных органов все чуть более открыто...если эти контрольные органы не против войти в положение хоть немного...но получается уязвимость перед вторичными санкциями - вот посредник влетит под них и что?
Надо еще заранее знать какой сервис быдло а какой нет (а это значит - по умолчанию _все_ такие) и желательно - насколько(за яндексом тем же - были случаи когда они вообще теховердрафт устраивали и банки это каким то образом пропускали - например см https://vc.ru/claim/548244-yandeks-direkt-bezakceptno-spisal-117-000-s-lichnoy-i-korporativnoy-karty-a-tinkoff-uvel-ih-v-tehnicheskiy-overdraft ), банк может выбираться не случайно а из-за каких то особенностей
да, там даже с "подтвердив его электронную почту или телефонный номер" можно таак напортачить.
- номер надо подверждать по СМС? это дорого + клиенты могут считать что лучше лучше в ВК/Telegram, некоторые продавцы - тоже так считают а клиентам не нравится - нужно уметь рестартовать процедуру
- e-mail нужно подтверждать - нужно ли проверять его на корректность перед подтверждением? Как именно? Там куча веселья неочевидного(+$/\,- в адресе можно? @почта.рф это корректный домен? А виси.ру?). Реализация по стандартам - может вызвать ошибки у клиентов. Как быть если адрес из внешнего источника(госуслуги - допустим интеграция? Как решать проблему если другие серверы вашу почту не принимают - говорят что спам? А если могут подтвердить это ссылками на стандарты? А как быть если вас касается ограничение про "только российские адреса электронной почты" для регистрации на сайтах - кстати а что это такое? А если клиент использует одноразовые адреса? Если просто уникальные адрес для ресурса?А если клиент говорить что это для приватности и это iCloud Private Email? А кстати есть ли способ однозначно такие адреса определить?
Неограниченное количество виртуалок это...сложно.
Вроде можно в сбере (по 5 за месяц) с подпиской сберпрайм но там еще сам сберпрайм как то очень странно тарифицируется - может списаться и не заработать с невнятной диагностикой, может загнать счет в минус...
Ну теоретически - получить виртуалку в любом банке, привязать ее, поставить лимит 0/заморозить, аннулировать виртуалку. Другое дело что это ж Яндекс - с них станется "задолжность" дергать по любым когда либо привязанным картам.
МТС...работает. Ввожу запрос на пополнение 4000 р, показывает сумму 4050 и просит по СБП. Сканирую код и плачу. Почти сразу прилетает сообщение о том что Steam wallet пополнен на 41.18 а потом в истории Steam сообщение про конвертацию и остаток 3815.
6% получается берут
Мне ВБ еще никогда ничего не прислал быстрее чем дней за 5.
Подобрать юридически корректную формлуировку? Если там например есть хоть какой то процессор - что там в лицензии на ПО? может быт интересно...
Тут же важно скорее как повод посылать к продавцу за сервисным обслуживанием или любыми претензиями...
Vikarti Anatra
Не успеет. ей заблокируют счет по 115-ФЗ, за терроризм.