Registrierung mit Double Opt?

[woniecar]

Hi, es ist total nervig wenn sich Kunden mit Fake-Mailadressen anmelden. Ich kann ehrlich gesagt nicht verstehen, wieso modified kein Double Opt hat. Oder habe ich etwas übersehen? Ist aus meiner Sicht eine echte Sicherheitslücke.
Hat sich schon jemand damit beschäftig und das gelöst? Updatesicher?
Gruß Wolfgang

Linkback: https://www.modified-shop.org/forum/index.php?topic=42488.0

[Timm]

Ja ist nervig, aber vergleiche mal wieviele von deinen Newsletteranmeldungen dann auch die Newslettermail bestätigen. Den Verlust hätte ich persönlich ungern bei Kunden. Da lösch ich die Fakekonten lieber.

Und das ist in der 2.0.7.2, die du auch nutzt,  ja recht einfach, da man die Kunden sortieren kann und es nun vorne die Checkbox "Edit" gibt. Und da die Bots meist das letzte Land in der Liste der Registrierung nehmen, auch recht einfach, wenn man nach Land sortiert.

Captcha nutzt du schon und in 2.0.7.2 ist sogar schon eine Zeitfalle drin. Allerdings mit viel zu kurzer Zeit. Es gibt im Forum eine updatesichere Zeitfalle von @p3e und die funktioniert recht gut mit 8s.

Ansonsten gibts noch ein Würfelcaptcha von @noRiddle, was auch schwieriger zu lösen ist und vom Team gibts das php Captcha, wo ich aber nicht weiß, wieviel das bringt.

Gruß Timm

P.S.
offtopic:
Du hast viel zu wenig Länder freigeschaltet für die Registrierung. Müssten EU+EWR sein. Musst aber nicht in alle versenden, wie du es auch schon mit UK handhabst.

[ddehning]

Die Funktion wurde schon einmal diskutiert und ist laut Ticketsystem für die Shopversion 3.0.0 geplant, siehe Ticket #1903.

[noRiddle (revilonetz)]

Die Aussage halte ich für gewagt.
Der im Ticket angegebene Meilenstein sagt nichts darüber aus was geplant ist.

Gruß,
noRiddle

[noRiddle (revilonetz)]

[...]
P.S.
offtopic:
Du hast viel zu wenig Länder freigeschaltet für die Registrierung. Müssten EU+EWR sein. Musst aber nicht in alle versenden, wie du es auch schon mit UK handhabst.

Das stimmt. Es müssten 28 Länder sein.
Hier (Alle Länder sind aktiv bei Neuinstallation (Verbesserungsvorschlag) - Antwort #16) habe ich mal geschrieben wie man die entscheidenden Länder einfach mittels MySQL-Befehl aktivieren kann.

Gruß,
noRiddle

[woniecar]

Wieso denn Länder freischalten in die man nicht liefern will?
Gruß Wolfgang

[noRiddle (revilonetz)]

Moin. Guckssu z.B. hier: Fragen zur Geoblocking-Verordnung

Gängige Praxis ist es für die Länder in die man nicht liefern möchte lediglich Selbstabholung anzubieten.

Leider gibt es in Bezug auf das Thema noch einen Fehler im Shop, weil "Es ist leider kein Versand in dieses Land möglich" nicht angezeigt wird, siehe Ticket #2288.

Was einige, einschl. meiner Wenigkeit, von der EU-Regelung halten kam auf imho satirische Weise im verlinkten Thread zum Ausdruck.

Gruß,
noRiddle

[Tomcraft]

[...]
Der im Ticket angegebene Meilenstein sagt nichts darüber aus was geplant ist.
[...]

Das ist schon ein grober Fahrplan, auch wenn wir manche Tickets nochmal nach hinten stellen.

Grüße

Torsten

[voodoopupp]

Wie Timm sagt, sehe ich das ebenfalls als kritisch an - man will dem Kunden so wenig wie möglich Steine in den Weg legen.

Ich kenne, ehrlich gesagt, keinen Shop der das von mir verlangt. Und ich kenne genug Leute die wären damit schon überfordert, will heißen: die würden bei dir dann nicht einkaufen.

Was interessieren dich denn eigentlich Fakekonten bzw. Fake-Mail Adressen?
Was ist daran das wirklich große Problem?

Grüße
Dominik

[Hetfield]

Also ich hatte das gerade gestern noch im Shop von Teufel, dass die Registrierung bestätigt werden musste und viele Shops nutzen eine solche Registrierungmethode.

Und es gibt durchaus einige Gründe, die für ein Double-Opt-In sprechen.  Aber bei kleinen Shops kommen diese weniger zur Geltung.

MfG Hetfield

[noRiddle (revilonetz)]

Genau, ich kenne ebenfalls Shops die das machen. Allerdings nervt mich das immer ein wenig, denn ich benutze dafür Wegwerf-Mail-Adressen und ich muß mich dann jedesmal auf meinem Yahoo-Account einloggen und wenn ich auf den Bestätigungs-Link geklickt habe geht der ja logischerweise in einem neuen Tab auf. Wenn man dann also zwischen Artikel im Shop gefunden und Bestätigungs-Link klicken ein paar andere Sachen im Browser gemacht hat, sind zwischen dem ursprünglichen Tab und dem Bestätigung-Tab dann einige andere und es wird unübersichtlich.

Verstehen kann ich den Wunsch allerdings schon.
Man muß wirklich abwägen, ob man das haben möchte.
Deshalb wurde im Ticket von Tomcraft ja auch gesagt, daß wenn, er es sich nur mit einem Schalter dafür im Backend vorstellen kann.
Je nach Arbeitsweise merkt nicht jeder gleich wenn es Fake-Konten gibt und man sperrt damit einfach alle Spacken und Bots aus.

Gruß,
noRiddle

*NACHTRAG*

[...]
Was interessieren dich denn eigentlich Fakekonten bzw. Fake-Mail Adressen?
Was ist daran das wirklich große Problem?
[...]

Z.B.:
Betrüger. Mail-Adresse gibt es nicht, bezahlt mit PayPal, Rechnungsadresse weicht stark von Lieferadresse ab.
= starke Vermutung, daß gehacktes PayPal-Konto benutzt wurde und man nicht mittels Mail-Adresse erkannt werden möchte

[voodoopupp]

...
Verstehen kann ich den Wunsch allerdings schon.
Man muß wirklich abwägen, ob man das haben möchte.
Deshalb wurde im Ticket von Tomcraft ja auch gesagt, daß wenn, er es sich nur mit einem Schalter dafür im Backend vorstellen kann.
Je nach Arbeitsweise merkt nicht jeder gleich wenn es Fake-Konten gibt und man sperrt damit einfach alle Spacken und Bots aus.
...
*NACHTRAG*

[...]
Was interessieren dich denn eigentlich Fakekonten bzw. Fake-Mail Adressen?
Was ist daran das wirklich große Problem?
[...]

Z.B.:
Betrüger. Mail-Adresse gibt es nicht, bezahlt mit PayPal, Rechnungsadresse weicht stark von Lieferadresse ab.
= starke Vermutung, daß gehacktes PayPal-Konto benutzt wurde und man nicht mittels Mail-Adresse erkannt werden möchte

Grundsätzlich ist das ja auch ganz legitim und stimmt schon: generell kann man damit Fakekonten verringern bzw.  ausbremsen.

Wir führen sicherlich nicht die Ware, die Betrüger anzieht, die "kaufen" sich eher iPhones & Co....da macht das in der Tat etwas mehr Sinn. Aber bei uns ist das in jetzt ca. 15 Jahren noch kein einziges Mal vorgekommen.

Aber ich befürchte, dass man damit eher nur von Bots generierte Fakekonten verhindert, als wirkliche Betrüger, die den Kauf etc. manuell durchführen.

Ein Betrüger mit geknacktem Paypal Konto, der benutzt halt dann einfach ne Wegwerf Email Adresse der gängigen Sorten (gibt es ja Anbieter zu hauf), die dann eben 15 Minuten aktiv sind. Dort kann er dann auch den Bestätigungslink klicken....Wegwerf Adresse war es dann trotzdem.

Grüße
Dominik