Перейти до вмісту
Пошук в
  • Детальніше...
Шукати результати, які ...
Шукати результати в ...

Безопасность (конфиденциальность) магазина


Recommended Posts

Здравствуйте. Столкнулся с такой ситуацией: каждый день начали появляться левые заказы (по одному) на один и тот же не существующий мейл и номер телефона.

99,9% что кто-то из конкурентов смотрит номер заказа. В шаблоне письма я могу убрать номер заказа, не проблема. Передается ли ещё где-нибудь в запросах этот номер, можно ли его выцепить каким-либо отладчиком со стороны клиента? Если да, то какой вариант это скрыть либо отдавать наружу левую информацию?

Спасибо

Надіслати
Поділитися на інших сайтах


Зачем вам убирать номер заказа?

Как настоящие клиенты будут его знать?) 

номер заказа часто бывает необходим

 

Если вы хотите просто давать конкурентам не достоверную информацию, то на форуме где то был топик, как прибавлять цифры и увеличить шаг

 

например, первый заказ #10, следующий будет не #11, а #13

Змінено користувачем zlob
Надіслати
Поділитися на інших сайтах


В базе данных сменить ID последного заказа на 100500, новый будет уже 100501 и  пусть конкурент откусит от злости себе локти....

Надіслати
Поділитися на інших сайтах

2 часа назад, warezliker сказал:

начали появляться левые заказы (по одному) на один и тот же не существующий мейл и номер телефона.

если еще и с одного IP - просто заблочить его в .htaccess

Надіслати
Поділитися на інших сайтах

10 минут назад, halfhope сказал:

ALTER TABLE your_table AUTO_INCREMENT = 6000;

 

 

19 минут назад, Tom сказал:

В базе данных сменить ID последного заказа на 100500, новый будет уже 100501 и  пусть конкурент откусит от злости себе локти....

Но это не избавляет от последовательного измения

Наиболее преемлемый путь подсказал

@zlob

 

в addOrder

после инсерта и getLastID()

 

ALTER TABLE `order` AUTO_INCREMENT = $order_id + mt_rand(1,10)

 

  • +1 1
Надіслати
Поділитися на інших сайтах

37 минут назад, zlob сказал:

Зачем вам убирать номер заказа?

Как настоящие клиенты будут его знать?) 

номер заказа часто бывает необходим

 

Если вы хотите просто давать конкурентам не достоверную информацию, то на форуме где то был топик, как прибавлять цифры и увеличить шаг

 

например, первый заказ #10, следующий будет не #11, а #13

 

17 минут назад, Tom сказал:

В базе данных сменить ID последного заказа на 100500, новый будет уже 100501 и  пусть конкурент откусит от злости себе локти....

 

поясню немного:

меня "пингают" на регулярной основе, указывается несуществующий номер телефона и валидный емейл, который вряд-ли пренадлежит тому, кто "пингает" ибо "жирный" (из разряда [email protected]), скорее просто заглушка.

Кроме подтверждения заказа на емейл идет подтверждение заказа на телефон. Т.е. при выпиливании номера заказа из заголовка и тела письма обычный клиент неудобства не заметит - он его получит как минимум в смс.

НО: я вообще сомневаюсь, что смотрят по содержимому письма. Мне кажется, что это скрипт, который лупит по списку конкурирующих магазинов и "мониторит" ситуацию по рынку вцелом. И смотрит он, скорее всего, по каким-то запросам, которые передаются в get/post и т.д. Вариант, кстати, вполне реальный, т.к. список конкурирующих магазинов относительно небольшой, а "зоопарк" движков и того меньше - половина на опенкарте разной свежести, пара на джумле, мадженте.

PS: В магазине ЧПУ включено, в урле id заказа не светится

Надіслати
Поділитися на інших сайтах


7 минут назад, chukcha сказал:

 

Но это не избавляет от последовательного измения

Наиболее преемлемый путь подсказал

@zlob

 

в addOrder

после инсерта и getLastID()

 

ALTER TABLE `order` AUTO_INCREMENT = $order_id + mt_rand(1,10)

 

 

спасибо, я оставлю этот вариант на случай, если вообще не получится.

Вы мне лучше подскажите, передается где-то айди заказа в запросах или нет? М.б. там пошаманить можно что-то

Надіслати
Поділитися на інших сайтах


39 минут назад, warezliker сказал:

передается где-то айди заказа в запросах или нет?

Нет, по дефолту даже success не знает(не выводит) номер заказа

 

Хотя может быть в симпле, не помню, а смотреть лень

Надіслати
Поділитися на інших сайтах

симпла как раз стоит. Но я не программер, где точно смотреть, не знаю. В обычном отладчике хрома айди заказа нет, хотя айди товара увидеть можно

Надіслати
Поділитися на інших сайтах


В 2/9/2018 в 19:08, toropa сказал:

Забанить айпи и проблем нет

обсуждали выше.

Решение так себе, т.к. следующий же подобный запрос приходит с другого айпи

Надіслати
Поділитися на інших сайтах


если цель - избавиться от левых заказов, то думать над вариантами

 

прикрутить капчу

проверять email на существование

использовать подтверждение по email или sms

использовать обязательную регистрацию при оформлении

 

 

Надіслати
Поділитися на інших сайтах

4 часа назад, AlexDW сказал:

если цель - избавиться от левых заказов, то думать над вариантами

 

прикрутить капчу

проверять email на существование

использовать подтверждение по email или sms

использовать обязательную регистрацию при оформлении

 

 

Цель не светить номер заказа :)

Если она действительно не светится нигде в коде или запросах магазина, (т.е. нельзя выгрести дебаггером со стороны клиента), то удаление номера заказа из тела письма должно быть достаточно. Другое дело, что я не уверен в том, что номер заказа нигде не передается во время оформления.

Надіслати
Поділитися на інших сайтах


28 минут назад, warezliker сказал:

Другое дело, что я не уверен в том, что номер заказа нигде не передается во время оформления.

в дефолте - нигде, только в личном кабинете

И в письме о заказе

Надіслати
Поділитися на інших сайтах

Створіть аккаунт або увійдіть для коментування

Ви повинні бути користувачем, щоб залишити коментар

Створити обліковий запис

Зареєструйтеся для отримання облікового запису. Це просто!

Зареєструвати аккаунт

Вхід

Уже зареєстровані? Увійдіть тут.

Вхід зараз
  • Зараз на сторінці   0 користувачів

    • Ні користувачів, які переглядиють цю сторінку

×
×
  • Створити...

Important Information

На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність.