Masterpassword

    Im alten XTC gab es ja sowas wie "offene Warenkörbe ansehen" oder "Bestellung durchbuchen" gar nicht.
    Kunden hatten überwiesen und nicht durchgebucht oder abgebrochen.
    Wir haben dann in den Code ein Masterpassword eingefügt. So konnte man also mit der Mailadresse und dem Masterpassword sich als Kunde anmelden und nachsehen konnte, was er im Warenkorb hat bzw. die Bestellung somit für den Kunden durchbuchen.
    Sowas gibt es zum Glück nicht mehr.

    ABER: So ein Masterpassword vermisse ich z.B. um zu prüfen, ob neu angelegte Mitarbeiter auch wirklich nur das dürfen, was ich eingestellt habe. Mit dem Masterpassword (am einfachsten das gleiche wie der Shoperstelle Kunde 1) und der Mailadresse des neuen Mitarbeiters könnte man sich dann einloggen und die freigegebenen Funktionen prüfen.

    Hmm Rechtlich ?
    Und security!

    Weiter man kan doch mit den Mitarbeiter pasword einloggen.
    Und zum testen den einstellung macht man ja halt selbe so ein kopie account anlegen mit gleiche einstellungen / rechte / grupe


    Masterpaswords sind aus vieler sicht wirklich ein unding, ganz viele Hacks passieren durch so etwas wo auch immer die drin sind, ob es ein Smartphone , Gameconsole, Die Klappe von den Hauptgaszufür von Rusland zu Deutschland oder was auch immer ist

    Da hast Du gründlich etwas mißverstanden.

    1. Zum "rechtlichen": Ob ich mich (wie früher) mich in ein Kundenkonto einlogge um die Bestellung durchzubuchen oder nun unter "Offene Warenkörbe" dies tue, macht keinen Unterschied. Wenn das "rechtlich" bedenklich wäre, müßte die Durchbuchfunktion unter "Offene Warenkörbe" entfernt werden. Und in der Praxis: Wenn der Kunde eh nicht zahlt, wieso sollte ich eine offene Bestellung durchbuchen ?

    2. Um auszutesten, ob der Mitarbeiter nur wirklich das darf, wozu ich ihn freigeschaltet habe, bräuchte ich sein Passwort..... :)

    3. Ob ich mich nun mit meinem Passwort als Hauptadmin nur in meinen Account oder in alle Accounts einloggen kann, spielt bezüglich "hacken" des somit zum Masterpasswort mutierten Passwort keine Rolle.
    Bei 99% aller XTC-basierten Shops ist die Absendemailadresse gleich der Anmeldemailadresse des Shopbetreibers. Wenn ich also hacken will und könnte, einfach bei einem XTC-Shop Bestellung aufgeben, dann hab ich zumindest schonmal den Loginnamen. Und dann kann man munter Passwörter ausprobieren, um in den Shop zu kommen.....:cool:

    Zitat von Marcus

    Da hast Du gründlich etwas mißverstanden.

    1. Zum "rechtlichen": Ob ich mich (wie früher) mich in ein Kundenkonto einlogge um die Bestellung durchzubuchen oder nun unter "Offene Warenkörbe" dies tue, macht keinen Unterschied. Wenn das "rechtlich" bedenklich wäre, müßte die Durchbuchfunktion unter "Offene Warenkörbe" entfernt werden. Und in der Praxis: Wenn der Kunde eh nicht zahlt, wieso sollte ich eine offene Bestellung durchbuchen ?

    2. Um auszutesten, ob der Mitarbeiter nur wirklich das darf, wozu ich ihn freigeschaltet habe, bräuchte ich sein Passwort..... :)

    3. Ob ich mich nun mit meinem Passwort als Hauptadmin nur in meinen Account oder in alle Accounts einloggen kann, spielt bezüglich "hacken" des somit zum Masterpasswort mutierten Passwort keine Rolle.
    Bei 99% aller XTC-basierten Shops ist die Absendemailadresse gleich der Anmeldemailadresse des Shopbetreibers. Wenn ich also hacken will und könnte, einfach bei einem XTC-Shop Bestellung aufgeben, dann hab ich zumindest schonmal den Loginnamen. Und dann kann man munter Passwörter ausprobieren, um in den Shop zu kommen.....:cool:

    3. ist wirklich schlimm ja! aber kein grund zum noch schlimmeres wie ein masterpassword ist denke ich nicht nur meiner meinung. (paswords ausprobieren ist etwas anderes dan die irgendwo gehörd oder gesehen zu haben wie auch immer dieser situation entstanden ist, weil ja oft benutzt man ähnliche oder gleiches password auch irgendwo anders!)

    1. Kunden können doch einiges anlegen/ändern ins Account wo ein Shopbetreiber/Mitarbeiter nichts zu suchen hat. adressbuch, newsletter, memo., und und denke ist so 123 ohne erlaubnis von den Kunden nicht wirklich..

    2. Passwort kan man doch fragen dan hat man die zugang zum testen und ist die wirklich auch gefragt worden, oder wie gesagt mit einer art kopie vond den account den gleiche einstellun gen machen kan man auch mit testen. (laut meiner Kentnis in/mit EDV und Gesetze ist egal wo und von wen, wen man unter einer account von ein anderer Person einlogt braucht man zustimmung von dieser! )

    OJA durchbuchen ohne kentnis / erlaubnis ist ziemlich Glateis, sehe auch den onebutton texte wie zahlplichtig bestellen/kaufen oder so, das hat ein Grund Wen man dan auch noch mittels ein masterpasword tun kan alsob man selbe die Kunde ist hmmmmmmmmmmm

    Beispiel.
    Alsob den Kunde selbe den lieferadresse geänderd hat, ein bezahlplichtige kauf gemacht hat, kan man alles so 123 machen, wen man aber nachweisen soll dass die Kunde verantwortlich ist wie........ wen einer dritte auch zugang hat mit ein Masterpasword!
    Einer Bestellung von etwa Wert 1000 Euro zum Adresse: Packstation oder Hochhaus xyz wo die Pakete in einer sammelstelle auf abholung warten, mit lastschrift oder kauf auf Rechnung hmm.

    14 Mal editiert, zuletzt von jotest (14. Mai 2013 um 18:38)

    Sorry, das ist einfach nur Käse.

    WENN das Dein Standpunkt ist, wieso forderst Du dann unseren Chefentwickler nicht auf, UMGEHEND folgendes zu entfernen:
    1. Offene Warenkörbe durchbuchen
    2. Die Editfunktion zum Ändern der Adresse sowohl im Kundenkonto als auch in der Bestellung

    Und die Benutzung mit phpmyadmin oder ähnlichen Tools, mit denen man in der Datenbank Kundenadressen ändern kann, gehört ebenfalls sofort verboten.

    Ob ich nun eine Bestellung über "offene Warenkörbe" durchbuche oder mit einem Masterpasswort mich in das Frontend einlogge und es dort durchbuche, das Ergebnis ist das gleiche: eine durchgebuchte Bestellung.
    Nach Deiner Argementation macht sich also ein Shopbetreiber schon strafbar, wenn er versehentlich die falsche offene Bestellung über "offene Warenkörbe" durchbucht.
    Ob ich Adreßdaten in der Datenbank ändere, im Adminbereich oder im Kundenkonto, das Ergebnis ist auch hier das Gleiche: eine geänderte Adresse.

    Zitat

    weil ja oft benutzt man ähnliche oder gleiches password auch irgendwo anders!)


    Ja, und genau DAS ist der Grund, warum ich meine Mitarbeiter NICHT nach ihrem Passwort frage. Du wiedersprichst Dir selbst.

    Kein Beratung und und. ( ist alles nicht so schlim wen keiner weis, aber..)

    Aber Käse ja aus Holland dan ;)

    Offene Warenkorbe durchbuchen darf man wen Kunde dieser so möchtet, versehen hmm wen es ein Tester ist, weil die Kunde hat gar kein Kaufvertrag abgeschlossen, wie gesagt Glateis.

    Den Edit Adressen meinte ich (noch) nicht mit den Shopbetreiber und alles drum EDV aber wen einer dass Pasword hat die es nicht haben soll, und beim einloggen wie es sei die Kunde selbst kan man dieser sachen nicht unterscheiden / sehen. ( gleiches wen die Kunde selbst sein einlog oder wie sein paypal oder so verloren hat)

    Die risiken liegen wirklich dort aber OK meiner meinung.

    Aber trotzdem und ich bin in EDV mehr dan 20 Jahr, keiner aber auch wirklich keiner darf ohne zustimmung einloggen in ein anderes account dass ihm nicht gehört alsob die selbe die benutzer ist, ist nur so beiseite.

    Ob es andere wege gibt ( an Daten zu kommen oder änderen) ja die gibt es überall und immer, aber auch dass darf man nicht somal selbe entscheiden, ein Adress abänderen darf man eigentlich auch nicht so mal.

    personenbezogener Daten ändern oder einsehen sehe dafür auch privacy statement und dafür bei Grossere Firmen auch ein Datenschutzbeauftragte, die dan auch dafür verantwortlich ist ob den EDV Fachleuten sich halten an dieser (Oft ist auch ein schriftliches festlegen von so etwas plicht) und so weiter sorry bin kein Deutscher aber es ist dort/hier wirklich ziemlich aufpassen, was wie und wan zugang hat und abändern kan / darf.


    Aber ist egal weil es gibt ein eindeutiges Gesetzbuch in Deutschland die jeden einfache Person 100% aus den Kopf kent und auch versteht, also Anwalte braucht man gar nicht dafür , nein spass bei seite, weil genau umgekehrd is war, mach dich schlau in Internet wegen den Datenschutz gesetze bite.


    Auch dein Mitarbeiter sollen ein Uniques paswords in dein shop benuzten, das sollten die auch so gelernt sein , weil anders ist vielleicht dein Shop zugänglich von anderer, wie die Partner/Freundenkreis die vielleicht dass beliebte pasword kent!
    Damit ist es ....................

    Man darf nicht in Mitarbeiters mails, account / Locker und und

    Ob man einges TUT sol jeden selbe entscheiden, aber ist nicht so wei es sein soll im vertrauen und Datenschutz sinne.

    Ob man mit ein versehen von einer Warenkorb ohne erlaubnis durchbuchen einer abmahnung bekommen kan, hmm aber wen es ein normalfall geworden ist und weiter bekannt ja sicherlich !


    Den test wovon Du redest ( Mitarbeiter) kan man immerhin machen weil die settings setzt Du oder? dan braucht man doch nur ein testxyz an zu legen mit gleiche settings , also gar kein grund, um so einlog auf / mitarbeiter account.

    Wen Du aber zustimmung ( besser schriftlich) hat von den ist es egal mit welches mittel/einlog oder pasword Du es macht ;)

    Es werden ja Manager gekundigd weil die unerlaubt in mitarbeiteraccounts gewesen sind. ( meist mail, aber auch den netzwork zugang wo man den Dokumenten einsehen kan, oder sich vortun alsob)

    Ein Shop "admin" mitarbeiter account ist vielleicht nicht so schlimmes was privacy angeht, aber trotzdem glaube nicht das dort Gesetzlich ein wirkliche unterschied ist.

    3 Mal editiert, zuletzt von jotest (15. Mai 2013 um 09:00)