Wir verwenden Magento Enterprise (1.12) und ich habe bereits von mehreren Kunden eine E-Mail erhalten, in der sie sich beschwerten, dass sie ihr Passwort per E-Mail erhalten haben, als sie sich für ein Konto angemeldet haben. Ich weiß, dass dies als schlechte Praxis angesehen wird, aber Magento ist bereits im Lieferumfang enthalten.
Ich werde es ändern und aus der E-Mail-Vorlage entfernen, was recht einfach ist, aber ich war nur neugierig, warum Magento dies tut, wenn es lange als schlechte Praxis galt. Ich weiß, dass in einem Benutzerkonto wenig vertrauliche Informationen gespeichert sind, und wir führen eine Kreditkartenüberprüfung durch, aber "Magento Enterprise macht das so, also muss es in Ordnung sein." scheint wie eine schlechte Antwort für mich zu geben ..
Machen viele Magento-Entwickler dies zu einer häufigen Problembehebung, wenn sie eine neue Magento-Site erstellen, z. B. das Entfernen der Telefonüberprüfung?
Antworten:
Nein, das ist es definitiv nicht!
Nein, leider nicht. Wir sollten es wahrscheinlich tun, aber es ist in der Regel eines der niedrigsten Punkte auf der Sorgenliste. In den letzten 5 Jahren erinnere ich mich nur an einen einzelnen Kunden, der danach gefragt hat. Es geschah, nachdem ein Kunde eine feurige E-Mail erhalten hatte, der sich nicht allzu sehr darüber freute, dass sein Passwort an ihn gesendet wurde, und der dann die Sicherheit in Frage stellte, der Site ihre CC-Informationen für eine Bestellung zukommen zu lassen.
Ich würde empfehlen, diese Änderung für jedes neue Geschäft vorzunehmen. Es ist die kleine Zeit wert und die angeblichen "Vorteile", die ich unten erwähne, sind das Risiko einer unsicheren Übermittlung des Passworts nicht wert.
Ja, es gibt (obwohl IMO sie nicht wirklich nützlich sind). Dies hängt wahrscheinlich von der Bevölkerungszahl der Website ab, und ich habe hier leider keine Statistiken, aber die Leute verlieren Passwörter. Leute wie ich verwenden eindeutige Passwörter für alles und speichern sie in Schlüsselanhängern, aber die meisten Leute tun dies nicht, sondern schreiben sie auf Haftnotizen, kleben sie auf Computer oder senden sie sich per E-Mail. Ein Kunde, der keine Bestellung aufgeben kann, weil er sich nicht anmelden kann, ist entweder ein verlorener Auftrag / Kunde oder ein unglücklicher Kunde, bei dessen Nutzung ein CSR helfen muss.
Ich sage aber absolut nicht, dass es das Sicherheitsrisiko wert ist! Es ist nur ein "Grund" für sich, warum sie in erster Linie in E-Mails sind.
Eine große Sache, die ins Spiel kommt, ist die einfache Tatsache, dass die Leute immer noch das gleiche Passwort an vielen verschiedenen Orten verwenden. Selbst wenn es keine Rolle spielt, ob ein einzelnes Kundenkonto auf Ihrer Website kompromittiert wird, kann das Kennwort verwendet werden, um Konten zu kompromittieren, die möglicherweise sensibler sind. Nicht, dass eine E-Commerce-Site keine personenbezogenen Daten enthält, sie enthält jedoch normalerweise nicht die gleiche Menge an vertraulichen Informationen wie beispielsweise eine Bank.
Das Risiko für den einzelnen E-Commerce-Shop wird (unabhängig von der Kennwortüberkreuzung) erheblich größer, wenn Kreditkarteninformationen gespeichert werden, um die Nachbestellung und den Kauf zu vereinfachen. Sie sind dem Risiko ausgesetzt, dass nicht autorisierte Benutzer in das Konto eindringen, auf der Kreditkarte eines Kunden einkaufen und die Bestellung an einen anderen Ort versenden.
Welche Version von Magento verwendet wird, spielt in diesem Fall keine Rolle. Alle Versionen, mit denen ich gearbeitet habe (einschließlich EE 1.13), senden bei der ersten Kontoerstellung das Kundenpasswort im Klartext per E-Mail. Neuere Versionen enthalten das Kennwort nicht in den E-Mails zum Zurücksetzen des Kennworts und entscheiden sich stattdessen für einen ablaufenden Link. Aber wenn Sie das Passwort vom Administrator zurücksetzen, wird es in der gleichen Situation im Klartext gesendet.
Es ist ziemlich einfach, zu verhindern, dass das Passwort in den E-Mails zur Registrierung eines Kontos angezeigt wird. Der Magento-Administrator kann dies ganz einfach tun, indem er folgende Schritte ausführt:
Gehen Sie zu System> Transaktions-E-Mails
Klicken Sie auf die Schaltfläche Neue Vorlage hinzufügen
Wählen Sie im Dropdown-Menü "Vorlage" die Option "Neues Konto".
Laden Sie die Vorlage in das Formular, indem Sie auf die Schaltfläche Vorlage laden klicken
Suchen Sie die folgende Codezeile in der Vorlage und entfernen Sie sie:
Bearbeiten Sie die Kopie in der Vorlage, um die Art der E-Mail besser widerzuspiegeln. Teile der Standardvorlage (Beispiel: "Folgende Werte") sind ohne das Kennwort nicht sinnvoll ...
quelle
System > Configuration > Customers > Customer Configuration > Create New Account Options > Welcome Email
Ab ~ 1.6.1-rc CE wird Magento mit zwei verschiedenen Vorlagen zum Zurücksetzen von Passwörtern ausgeliefert . Einer hat das Passwort Klartext, der andere einen Reset-Link. Der Dateiname der zurückgesetzten Linkvorlage lautet,
account_password_reset_confirmation.html
während die E-Mail-Datei mit dem Klartextkennwort aufgerufen wirdpassword_new.html
Gehe zu:
Ändern Sie den Wert von "E-Mail-Vorlage vergessen" in "Passwort vergessen (Standardvorlage aus Gebietsschema)".
Bearbeiten
Beim erneuten Lesen (und @davidalger ist so ein Gentleman) habe ich es möglicherweise falsch interpretiert. Es ist jedoch sehr einfach, das Feld für die Kennworterinnerung auch in der neuen E-Mail zur Kundenregistrierung zu entfernen. Bearbeiten Sie die Zeile (~ Zeile 34):
In der Datei
app/locale/en_US/template/email/account_new.html
.Oder stimme einfach zu und akzeptiere die Antwort von @ davidalger, weil er es verdient hat!
quelle
Beachten Sie, dass es in 1.9.x (und möglicherweise früher) eine andere Vorlage gibt (neben der
late sendet das Passwort auch im Klartext.
quelle
Beachten Sie, dass in 1.9.x (und möglicherweise früher) neben der
New Account
Vorlage noch eine weitere Vorlage geändert werden muss: DieNew Account Confirmation Key
Vorlage sendet das Kennwort auch im Klartext.quelle