Sicherheitsmängel - Online-Shops: Ein Fenster von vier Sekun…
>fenster Naja, ich sehe den Vorteil in einer Registrierung darin das sich der
> > Kunde seine Bestellungen nochmal aufrufen kann und sie auch ändern
> > kann.
>
> Das geht auch ohne Registrierung.
>
> Normalerweise brauchst Du eh ein Session Tracking um die parallelen
> Besucher nicht durcheinanderzuwürfeln.
Das eine hat mit dem anderen ziemlich wenig zu tun.
> Diesen Session Identifikator
> kannst Du u.A in einem Cookie speichern, oder besser noch in einem
> Link den der $kunde sich bookmarken kann.
Das ist böse! Sitzungsschlüssel sollten nicht in URLs stehen, weil
sie dadurch über den HTTP-Referer weitergegeben werden können.
Außerdem sollte eine Sitzung nach relativ kurzer Zeit der Inaktivität
beendet werden, weil sonst die Gefahr steigt, dass die Sitzung
entführt wird.
> Dann kannst Du Warenkörbe
> zusammenstellen lassen ohne auch nur ein Kundendatum abzufragen. Wenn
> es dann zur Bestellung kommt, dann kommen die Kundenadress- und
> Bankdaten hinzu, und Du kannst höflich fragen ob Deine Daten unter
> der kundennr die Du vergibst für weitere Bestellungen online
> Verfügbar sein sollen.
Dann lieber alles (außer dem Sitzungsschlüssel) in einen Cookie
packen.
> Reichelt macht das Session und Datenmanagement in dieser Hinsicht
> vorbildlich, auch wenn es dort anderes zu kritisieren gibt.
Wenn sie das so machen, wie du es beschrieben hast, machen sie
einiges falsch!
cryptos