Associare gli ordini degli ospiti con l'account se le e-mail corrispondono?

Naviga le tue risposte
1

Un negozio web consente ordini da parte degli ospiti. Al momento del check-out, l'ospite deve fornire un indirizzo e-mail (oltre all'indirizzo di spedizione e ai dati di pagamento). Quando questo indirizzo e-mail è già utilizzato da un utente registrato, l'ordine ospite sarà associato a questo account utente.

Sarebbe sicuro associare automaticamente l'ordine ospite con l'account utente, senza richiedere all'ospite di accedere in anticipo (per dimostrare che l'ospite è quello che dichiara di essere)?

Che cosa potrebbe accadere (nel peggiore dei casi) quando l'ospite ha intenzioni malevole?

Scenario : Alice è registrata con il suo indirizzo email. Bob lo sa e ordina qualcosa [fornendo indirizzo di spedizione e dati di pagamento di lui | Alice | qualcun altro] come ospite, inserendo l'indirizzo di posta di Alice.

L'ingegneria sociale sarebbe l'unico vettore di attacco che mi viene in mente qui. Il che potrebbe essere particolarmente doloroso quando l'ospite ha selezionato il pagamento in anticipo (risp. Per fattura) e l'utente è in qualche modo indotto a pagare per un ordine che viene spedito al cliente.

    
posta unor 09.12.2013 - 17:46
fonte

2 risposte

2

No, no no. Questa non è una buona idea in nessuna circostanza. Gli ordini degli ospiti sono ordini degli ospiti, periodo. Richiedono informazioni di contatto, informazioni sulla spedizione e informazioni sui pagamenti ... Sempre.

L'accesso fornisce la comodità di non avere nessuna / alcune / tutte queste informazioni pre-compilate, ed è un requisito per l'associazione automatica degli ordini a un account. Senza una procedura di accesso, verrebbe essenzialmente l'autenticazione di un utente basato esclusivamente sull'indirizzo di posta elettronica, che non potrebbe mai essere sufficiente.

L'unico compromesso ragionevole che vedo è che se un utente ospite crea un ordine utilizzando l'indirizzo email di un utente conosciuto, lo aggiunge a una coda e la prossima volta che l'utente accede al sito, potresti chiedere se era il loro ordine e se forse vorrebbero aggiungerlo al proprio account per scopi di monitoraggio / archiviazione e dare loro la possibilità di confermare o negare che fosse loro.

Associarlo automaticamente al proprio account sarebbe semplicemente una cattiva idea, non solo per le ragioni che tu e GoD avete già affermato, ma da una prospettiva di esperienza utente in ogni caso che non è sul percorso felice (progettato) .

    
risposta data 09.12.2013 - 18:23
fonte
0

Suppongo che in realtà non consentirebbe a qualcuno di ordinare qualcosa senza prima richiedere la verifica tramite email. Lasciarlo fuori sarebbe una brutta cosa come Bob potrebbe:

  • Invia elementi Alice senza che lei li abbia ordinati
  • Invia elementi a se stesso o a un complice, attaccando Alice con il conto

C'è una perdita di informazioni con questo scenario, Bob potrebbe determinare se Alice è cliente del sito se conosce il suo indirizzo e-mail, o potrebbe semplicemente effettuare falsi ordini come ospite finché non trova un account che funzioni. In ogni caso, scopre un cliente.

Sfortunatamente non c'è nulla che tu possa fare per impedire l'attività se vuoi usare utenti ospiti. L'opzione migliore sarebbe quella di consentire alle persone di aggiungere cose al loro carrello come ospite, ma una volta che vogliono effettuare il checkout forzare un processo di accesso / registrazione. Questo è ancora aperto a supposizioni, Bob potrebbe semplicemente registrarsi e continuare a provare diversi indirizzi email. Non puoi impedirlo ma potresti:

  • Aggiungi captcha: non è perfetto ma alza la barra per i bot in un certo senso
  • Avvisa gli utenti quando qualcuno tenta di registrarsi utilizzando il proprio account di posta elettronica, almeno hanno una certa conoscenza se qualcuno sta cercando di rubare la propria identità
risposta data 09.12.2013 - 18:00
fonte

Leggi altre domande sui tag

Best practice per l'accesso alla porta di gestione del firewall Domanda: come pianificare la politica di email per le start-up?