Так что, если торговец не имеет сертификата SSL и, таким образом, не поддерживает HTTPS и запрос отправляется через HTTP, то кто-то может выполнить MITM атаки (так же, как и все остальное, используя HTTP) и может искажать с просьбой а пользователь не будет даже знать его. Я лично считаю, что это небезопасно, особенно когда оба потребителя и торговца имеют доступ к закрытым ключам, которые могут подписать этот запрос оплаты, так что, как минимум, ее целостность проверяется.

Редактирование: как же мы всегда говорили, чтобы проверить подписи и контрольные суммы программного обеспечения мы загрузки, даже если оно было доставлено через безопасный механизм, как HTTPS? Если не то же самое применяется к запросам оплаты?