Giriş şifreler e-postayla gönderilir. Kötü uygulama? PCI uyumlu mu?


49

Magento Enterprise (1.12) kullanıyoruz ve çok sayıda müşterim, bir hesap açtığında şifrelerini e-posta yoluyla aldıklarından şikayetçi olduğum için bana e-posta attı. Bunun kötü bir uygulama olarak kabul edildiğini biliyorum, ancak Magento'nun kutudan çıkarılmasıyla birlikte geliyor.

Bunu değiştireceğim ve e-posta şablonundan kaldıracağım, ki bu yeterince kolay, ama Magento'nun uzun zamandır kötü bir uygulama olduğu düşünüldüğünde bunu neden yaptığını merak ediyordum. Bir kullanıcı hesabında çok az hassas bilgi bulunduğunu biliyorum ve kredi kartı doğrulaması yapıyoruz, ancak "Magento Enterprise bu şekilde yapıyor, bu yüzden tamam olmalı." Bana vermek için kötü bir cevap gibi görünüyor

Ayrıca, pek çok Magento geliştiricisi, telefonla onaylamayı kaldırmak gibi yeni bir Magento sitesi oluştururken bunu sık sık 'yapılacaklar listesi' yapıyor mu?


EE'nin hangi sürümü?
benmarks

@benmarks EE sürümü bu durumda gerçekten önemli değil, hepsi hesap kayıt e-postalarında şifreyi gönderir. :)
davidalger

@davidalger cevabımı gör. EE 1.10'dan beri şifre sıfırlama şablonunun iki versiyonu vardır.
philwinkle

1
@ philwinkle Doğru, ancak sıfırlama e-postası OP'nin sorduğu biri değildi. Kayıt e-postasını
soruyorlardı

@ davidalger iyilik. Ben her türlü aşağı oy hakkını hakediyorum :) Gerçekten okumak için zaman ayırdığınız için sizi düzenleyecek ve artıracak.
philwinkle

Yanıtlar:


32

Bir müşteriye e-posta yoluyla kayıt sırasında verdikleri şifreyi göndermek güvenlik açısından iyi bir uygulama mıdır?

Hayır, kesinlikle değil!

Bunu müşteriler için sık sık değiştirir miyiz?

Hayır. Ne yazık ki yapmıyoruz. Muhtemelen yapmalıyız, ama genellikle endişe listesindeki en düşük maddelerden biri. Son 5 yılda, sadece bunu soran tek bir müşteriyi hatırlıyorum. Parolalarının kendisine e-postayla gönderilmesinden çok memnun olmayan ve daha sonra siteye CC bilgilerini sipariş vermek için vermiş olmalarının güvenliğini sorgulayan bir müşteriden ateşli bir e-posta aldıktan sonraydı.

Herhangi bir yeni mağaza için bu değişikliği yapmanızı şiddetle tavsiye ederim. Bu biraz zamana değer ve aşağıda bahsettiğim sözde "faydalar", şifreyi güvenli bir şekilde iletme riskine değmez.

Yeni hesap e-postasında şifreyi eklemenin faydaları var mı?

Evet, var (IMO'ya rağmen gerçekten faydaları yok). Bu, muhtemelen sitenin demografik özelliklerine bağlıdır ve maalesef burada herhangi bir istatistik yok, ancak insanlar şifrelerini kaybediyor. Benim gibi insanlar her şey için benzersiz şifreler kullanıyor ve bunları anahtarlıklarda saklıyorlar, ancak çoğu insan kullanmıyor, yapışkan notlara yazıyor, bilgisayarlara yapıştırıyor veya kendilerine e-posta ile göndermiyorlar. Giriş yapamadığı için sipariş veremeyen bir müşteri, bir CSR'nin siteyi kullanmasına yardımcı olması gereken kayıp bir sipariş / müşteri veya mutsuz bir müşteridir.

Kesinlikle güvenlik riskine değeceğini bile söylemiyorum! Bu sadece e-postalarda ilk etapta olmalarının nedeni bir "sebep".

Oyuna giren en büyük şey, insanların hala aynı şifreyi birçok farklı yerde kullanmalarıdır. Dolayısıyla, kendi web sitenizdeki tek bir müşteri hesabının riske atılması önemli olmasa bile, daha hassas bir yapıya sahip olabilecek hesapları tehlikeye atmak için şifre kullanılabilir. Bir e-Ticaret sitesinin PII içermediğinden değil, tipik olarak bir bankanın alabileceği aynı hassas bilgileri içermez.


Bireysel e-Ticaret mağazası için risk, kredi kartı bilgileri daha kolay sipariş ve satın alma sağlamak için saklanırken (şifre çapraz polinasyonundan bağımsız olarak) daha da büyük bir hal alır. Bu, sizi yetkisiz kullanıcıların hesaba girme, müşterilerin kredi kartından satın alma ve siparişlerin başka bir yere gönderilme riskine yol açar.

Bu durumda, Magento'nun hangi versiyonunun kullanıldığı önemli değildir. Çalıştığım tüm sürümler (EE 1.13 dahil), ilk hesap oluşturulduktan sonra müşterinin hesap şifresini e-posta yoluyla açık metin olarak gönderir. Yeni sürümler, parola sıfırlama e-postalarına parolayı içermez ve bunun yerine süresi dolmuş bir bağlantıyı seçer. Ancak şifreyi yönetici tarafından sıfırlarsanız, aynı durumda, açık metin olarak gönderilir.


Parolanın hesap kayıt e-postalarında gönderilmesini engellemek oldukça basittir ve birkaç basit adımı izleyerek Magento yöneticisinden kolayca yapılabilir:

  1. Sistem> İşlemsel E-postalar

  2. Yeni Şablon Ekle düğmesini tıklayın

  3. Şablon açılır listesinden "Yeni hesap" seçeneğini seçin

  4. Şablonu Yükle düğmesini tıklatarak şablonu forma yükleyin

  5. Aşağıdaki kod satırını şablonda bulun ve kaldırın:

    <strong>Password</strong>: {{htmlescape var=$customer.password}}<p>
  6. E-postanın yapısını daha iyi yansıtmak için şablondaki kopyayı düzenleyin. Varsayılan şablonun bölümleri (Örn: "aşağıdaki değerleri"), parola mevcut olmazsa ...


Bilgilendirici cevap için teşekkür ederiz. Düşündüğüm şey buydu, ancak platformun birçok sürümünde hayatta kalmayı başardığından, sormam gerektiğini düşündüm. Bu cevabı yazmaktan daha az zaman aldı, ama ilk başta böyle olmak kötü bir uygulama gibi görünüyordu.
willboudle

1
Yeni bir e-posta şablonu oluşturursanız, bu yeni şablonu şu System > Configuration > Customers > Customer Configuration > Create New Account Options > Welcome Email
adresten

9

~ 1.6.1-rc CE Magento'dan beri iki farklı şifre sıfırlama şablonu ile birlikte geliyor . Biri şifreli plaintext, diğeri ise sıfırlama bağlantısına sahip. Bağlantı şablonu dosya account_password_reset_confirmation.htmladını sıfırla , düz metin parola e-posta dosyası aranırkenpassword_new.html

Git:

System > Configuration > Customers > Customer Configuration > Password Options

"E-posta Şablonunu Unuttum" değerini "Şifremi Unuttum" (Yerel Ayartan Varsayılan Şablon) olarak değiştirin.

Düzenle

Tekrar okuduktan sonra (ve @davidalger böyle kibar bir davranış) yanlış yorumlamış olabilirim. Bununla birlikte, yeni müşteri kaydolma e-postasında bulunan şifre hatırlatma alanını kaldırmak çok kolaydır. Satırı düzenleyin (~ satır 34):

<strong>Password</strong>: {{htmlescape var=$customer.password}}<p>

Dosyada app/locale/en_US/template/email/account_new.html.

Veya, @ davidalger'in cevabını sadece oylayın ve kabul edin!


1

1.9.x'te (ve belki daha erken) başka bir şablon olduğunu unutmayın (ayrıca

Değiştirilecek Yeni Hesap şablonu): Yeni Hesap Onay Anahtarı temp

Ayrıca geç de şifreyi açık metin olarak gönderir.


0

1.9.x'te (ve belki daha erken) New Accountdeğiştirilecek başka bir şablon (şablonun yanı sıra ) olduğunu unutmayın: New Account Confirmation Keyşablon ayrıca şifreyi açık metin olarak gönderir.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.