Безопасность (конфиденциальность) магазина

[warezliker]

Здравствуйте. Столкнулся с такой ситуацией: каждый день начали появляться левые заказы (по одному) на один и тот же не существующий мейл и номер телефона.

99,9% что кто-то из конкурентов смотрит номер заказа. В шаблоне письма я могу убрать номер заказа, не проблема. Передается ли ещё где-нибудь в запросах этот номер, можно ли его выцепить каким-либо отладчиком со стороны клиента? Если да, то какой вариант это скрыть либо отдавать наружу левую информацию?

Спасибо

[zlob]

Зачем вам убирать номер заказа?

Как настоящие клиенты будут его знать?) 

номер заказа часто бывает необходим

 

Если вы хотите просто давать конкурентам не достоверную информацию, то на форуме где то был топик, как прибавлять цифры и увеличить шаг

 

например, первый заказ #10, следующий будет не #11, а #13

Змінено 6 лютого 2018 користувачем zlob

[Tom]

В базе данных сменить ID последного заказа на 100500, новый будет уже 100501 и  пусть конкурент откусит от злости себе локти....

[halfhope]

ALTER TABLE your_table AUTO_INCREMENT = 6000;

 

[AlexDW]

2 часа назад, warezliker сказал:

начали появляться левые заказы (по одному) на один и тот же не существующий мейл и номер телефона.

если еще и с одного IP - просто заблочить его в .htaccess

[chukcha]

10 минут назад, halfhope сказал:

ALTER TABLE your_table AUTO_INCREMENT = 6000;

 

 

19 минут назад, Tom сказал:

В базе данных сменить ID последного заказа на 100500, новый будет уже 100501 и  пусть конкурент откусит от злости себе локти....

Но это не избавляет от последовательного измения

Наиболее преемлемый путь подсказал

@zlob

 

в addOrder

после инсерта и getLastID()

 

ALTER TABLE `order` AUTO_INCREMENT = $order_id + mt_rand(1,10)

 

[warezliker]

37 минут назад, zlob сказал:

Зачем вам убирать номер заказа?

Как настоящие клиенты будут его знать?) 

номер заказа часто бывает необходим

 

Если вы хотите просто давать конкурентам не достоверную информацию, то на форуме где то был топик, как прибавлять цифры и увеличить шаг

 

например, первый заказ #10, следующий будет не #11, а #13

 

17 минут назад, Tom сказал:

В базе данных сменить ID последного заказа на 100500, новый будет уже 100501 и  пусть конкурент откусит от злости себе локти....

 

поясню немного:

меня "пингают" на регулярной основе, указывается несуществующий номер телефона и валидный емейл, который вряд-ли пренадлежит тому, кто "пингает" ибо "жирный" (из разряда [email protected]), скорее просто заглушка.

Кроме подтверждения заказа на емейл идет подтверждение заказа на телефон. Т.е. при выпиливании номера заказа из заголовка и тела письма обычный клиент неудобства не заметит - он его получит как минимум в смс.

НО: я вообще сомневаюсь, что смотрят по содержимому письма. Мне кажется, что это скрипт, который лупит по списку конкурирующих магазинов и "мониторит" ситуацию по рынку вцелом. И смотрит он, скорее всего, по каким-то запросам, которые передаются в get/post и т.д. Вариант, кстати, вполне реальный, т.к. список конкурирующих магазинов относительно небольшой, а "зоопарк" движков и того меньше - половина на опенкарте разной свежести, пара на джумле, мадженте.

PS: В магазине ЧПУ включено, в урле id заказа не светится

[warezliker]

18 минут назад, AlexDW сказал:

если еще и с одного IP - просто заблочить его в .htaccess

банил, айпи сменили

[warezliker]

7 минут назад, chukcha сказал:

 

Но это не избавляет от последовательного измения

Наиболее преемлемый путь подсказал

@zlob

 

в addOrder

после инсерта и getLastID()

 

ALTER TABLE `order` AUTO_INCREMENT = $order_id + mt_rand(1,10)

 

 

спасибо, я оставлю этот вариант на случай, если вообще не получится.

Вы мне лучше подскажите, передается где-то айди заказа в запросах или нет? М.б. там пошаманить можно что-то

[chukcha]

39 минут назад, warezliker сказал:

передается где-то айди заказа в запросах или нет?

Нет, по дефолту даже success не знает(не выводит) номер заказа

 

Хотя может быть в симпле, не помню, а смотреть лень

[warezliker]

симпла как раз стоит. Но я не программер, где точно смотреть, не знаю. В обычном отладчике хрома айди заказа нет, хотя айди товара увидеть можно

[toropa]

Забанить айпи и проблем нет

[warezliker]

В 2/9/2018 в 19:08, toropa сказал:

Забанить айпи и проблем нет

обсуждали выше.

Решение так себе, т.к. следующий же подобный запрос приходит с другого айпи

[AlexDW]

если цель - избавиться от левых заказов, то думать над вариантами

 

прикрутить капчу

проверять email на существование

использовать подтверждение по email или sms

использовать обязательную регистрацию при оформлении

 

 

[warezliker]

4 часа назад, AlexDW сказал:

если цель - избавиться от левых заказов, то думать над вариантами

 

прикрутить капчу

проверять email на существование

использовать подтверждение по email или sms

использовать обязательную регистрацию при оформлении

 

 

Цель не светить номер заказа

Если она действительно не светится нигде в коде или запросах магазина, (т.е. нельзя выгрести дебаггером со стороны клиента), то удаление номера заказа из тела письма должно быть достаточно. Другое дело, что я не уверен в том, что номер заказа нигде не передается во время оформления.

[chukcha]

28 минут назад, warezliker сказал:

Другое дело, что я не уверен в том, что номер заказа нигде не передается во время оформления.

в дефолте - нигде, только в личном кабинете

И в письме о заказе

[warezliker]

Если все действительно так, то тема, думаю, себя исчерпала.

Кто заказы делал я сегодня выяснил, кстати.