Accesso automatico dall'e-mail del cliente

8

Stavo pensando di creare una funzione di accesso automatico per un'estensione su cui sto lavorando, in cui un cliente che fa clic su un collegamento in un'e-mail verrà automaticamente registrato sul proprio account.

Questo sarebbe davvero utile soprattutto quando si invia a clienti più anziani perché c'è un cambiamento elevato che dovrebbero premere la password dimenticata per accedere e fare un acquisto.

D'altra parte, aprirebbe alcune vulnerabilità di cui non sono troppo entusiasta. Se un cliente inoltra l'e-mail al proprio amico e il suo amico fa clic sui collegamenti, verranno anche registrati come loro amico.

Concesso potresti provare a educare i tuoi clienti a non inoltrare quelle e-mail, ma potrebbe essere una battaglia in salita. L'idea che l'inoltro di un'e-mail di marketing ad un amico consentirebbe loro di accedere al proprio account non autorizzato non è qualcosa a cui le persone si abitueranno rapidamente.

Pensieri?

AGGIORNAMENTO: Ho appena notato che Quora esegue un accesso automatico dalle e-mail di notifica dei commenti.

email 
kalenjordan
fonte

Risposte:

11
  1. Memorizza l'indirizzo IP e / o l'agente utente utilizzati quando l'ultimo cliente ha effettuato un ordine o visitato e fai in modo che il collegamento funzioni solo con tale indirizzo IP o agente utente.
  2. Fai funzionare il collegamento solo una volta.
  3. Richiedi un'autenticazione intermedia davvero semplice come "Per confermare che sei Jane Doe, inserisci il tuo codice postale:"
ColinM
fonte
Stavo pensando un po 'di più a questo. Stavo pensando che se qualcuno avesse un incentivo a creare questo tipo di funzionalità, probabilmente sarebbe Facebook o Twitter. Ma loro non lo fanno, vero?
kalenjordan
4. è molto probabile che il cliente non abbia modificato il proprio browser: salvare un valore del cookie con il quale si effettua l'autenticazione oltre al collegamento.
Kristof a Fooman il
1
Se l'utente ha un telefono e / o utilizza il sito da una libreria, è probabile che l'agente utente cambi. Lo stesso vale per l'IP. Le persone, infatti, fanno cose sul proprio desktop, quindi le seguono sul proprio dispositivo mobile. Aggiungete a questo il ritardo delle e-mail di marketing ... e avete una probabilità ancora più elevata che siano in gioco più dispositivi o IP.
davidalger,
12

Penso che non consiglierei una tale funzione ...

Ma comunque, se vuoi creare questa funzionalità, considera questi punti:

  • utilizzare un accesso basato su token, come http: //shop.tld/? autologintoken = AABBCCDD

  • se questo è solo per la prima volta che il cliente accede limita il token di autenticazione a un accesso

  • rendere il token unico per cliente e anche (molto importante) non basato sul nome utente / password / indirizzo / nome / email / qualunque cosa. Mage_Core_Helper_Data :: getRandomString potrebbe aiutarti. Una lunghezza di 32 dovrebbe essere il minimo che direi. Non usare qualcosa come md5 (time ())!

  • cambia il token ogni volta che il cliente cambia la sua password

  • limitare l'accesso all'account per i clienti che hanno effettuato l'accesso utilizzando il token, ad esempio lasciare che inseriscano la password se desiderano cambiare l'indirizzo di posta o accedere ai numeri CC. Questo potrebbe aiutare un po 'a migliorare la sicurezza

  • non (!!!) fare affidamento su browser, cookie, IP o qualcos'altro

thebod
fonte
1
Vorrei poter dare più di un semplice +1 su questo. :)
davidalger,
1
Nelle versioni di Magento precedenti alla 1.9 getRandomString è estremamente debole a causa del seeding di mt_srand con solo 1 milione di valori possibili (indipendentemente dalla lunghezza della stringa, solo 1 milione di risultati possibili).
ColinM,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.