Webshop ohne Browser Cookies
Hallo allerseits,
leider bin ich vor Kurzem über einen Webshop gestolpert, dessen ansonsten professionelle Dienste ich gerne weiter in Anspruch nehmen möchte, der aber aktuell mit gleich mehreren technischen Problemen daherkommt.
Meine Bitte an Euch: Ich möchte dem Webshop gerne eine Lösung anbieten / nahelegen /aufdrängen sich doch bitte nach einem System umzuschauen, das ohne Browser Cookies auskommt. Im Quelltext der Seiten habe ich Dienste entdeckt wie polyfill.io, cloudfare.com und usercentrics.eu, die ich als Webshop-Laie allerdings nicht wirklich einordnen kann.
Die technischen Probleme sehen so aus:
A) Vor dem Login als registrierter Benutzer muss auf dieser Seite (ich bitte um Verständnis, wenn ich die Adresse hier nicht veröffentlichen werde) zwingend eine PLZ eingegeben werden, wenn man die Sicherheitseinstellungen des Browsers so setzt, dass in einer Session gesetzte Cookies beim Schließen des Browsers gelöscht werden.
Das zu ändern bedarf es meiner Meinung nach nur eines unmittelbar zugänglichen Links zum Login - also ein leicht lösbares Thema.
B) Vermutlich durch ein Update eines der Dienste wurde nach Monaten der problemlosen Nutzung allerdings Server-seitig in den Adressdaten eine Änderung vorgenommen, die mich als Kunden von Bestellungen ausgeschlossen hat. Das konnte nach knapp einer Woche durch einen Workaround gelöst werden, hat aber die Unprofessionalität der Betreiber entlarvt, dass ich mir Sorgen um meine Kreditkarten-Daten (die ich hier auch nicht veröffentlichen werde ) mache.
In den Adressdaten werden nahezu alle Eingaben ohne Plausibilitätsprüfung erlaubt, u.A. für geteilte Hausnummern wie 25/1, 25-1 oder 25a. Bei der Eingabe von Telefonnummern wird dagegen die gängige Gliederung mit Leerzeichen wie 030 1234 1234 per Fehlermeldung, es wären hier keine Buchstaben (seit wann sind Leerzeichen Buchstaben??) erlaubt, abgewiesen. M.E. würde diese Fehlermeldung durch eine einfache isnumeric-Funktion vermieden.
Für die Kreditkarte wird eine per copy 'n paste eingefügte Nummer ohne Leerzeichen dagegen mit Leerzeichen in 4er-Gruppen aufgeteilt, wobei das Feld für die Gültigkeit nur per Klick erreichbar ist. Auch dort wird bei einer Eingabe 0421 ein Slash eingefügt und dann das CVC-Feld aktiviert. Die Eingabe 0421789 wird also in 04/21 und das nächste Feld 789 umgewandelt.
Wenn der Webshop-Betreiber allerdings all diese Details komplett einem Diensteanbieter überlässt ohne sie vor dem Rollout in die Produktivität zu testen, habe ich so meine Bedenken bezügl. der allgemeinen Professionalität der Seite.
Hilft mir bitte jemand dieses Konstrukt einzuordnen?
Vielen Dank!
Spinnifex
leider bin ich vor Kurzem über einen Webshop gestolpert, dessen ansonsten professionelle Dienste ich gerne weiter in Anspruch nehmen möchte, der aber aktuell mit gleich mehreren technischen Problemen daherkommt.
Meine Bitte an Euch: Ich möchte dem Webshop gerne eine Lösung anbieten / nahelegen /aufdrängen sich doch bitte nach einem System umzuschauen, das ohne Browser Cookies auskommt. Im Quelltext der Seiten habe ich Dienste entdeckt wie polyfill.io, cloudfare.com und usercentrics.eu, die ich als Webshop-Laie allerdings nicht wirklich einordnen kann.
Die technischen Probleme sehen so aus:
A) Vor dem Login als registrierter Benutzer muss auf dieser Seite (ich bitte um Verständnis, wenn ich die Adresse hier nicht veröffentlichen werde) zwingend eine PLZ eingegeben werden, wenn man die Sicherheitseinstellungen des Browsers so setzt, dass in einer Session gesetzte Cookies beim Schließen des Browsers gelöscht werden.
Das zu ändern bedarf es meiner Meinung nach nur eines unmittelbar zugänglichen Links zum Login - also ein leicht lösbares Thema.
B) Vermutlich durch ein Update eines der Dienste wurde nach Monaten der problemlosen Nutzung allerdings Server-seitig in den Adressdaten eine Änderung vorgenommen, die mich als Kunden von Bestellungen ausgeschlossen hat. Das konnte nach knapp einer Woche durch einen Workaround gelöst werden, hat aber die Unprofessionalität der Betreiber entlarvt, dass ich mir Sorgen um meine Kreditkarten-Daten (die ich hier auch nicht veröffentlichen werde ) mache.
In den Adressdaten werden nahezu alle Eingaben ohne Plausibilitätsprüfung erlaubt, u.A. für geteilte Hausnummern wie 25/1, 25-1 oder 25a. Bei der Eingabe von Telefonnummern wird dagegen die gängige Gliederung mit Leerzeichen wie 030 1234 1234 per Fehlermeldung, es wären hier keine Buchstaben (seit wann sind Leerzeichen Buchstaben??) erlaubt, abgewiesen. M.E. würde diese Fehlermeldung durch eine einfache isnumeric-Funktion vermieden.
Für die Kreditkarte wird eine per copy 'n paste eingefügte Nummer ohne Leerzeichen dagegen mit Leerzeichen in 4er-Gruppen aufgeteilt, wobei das Feld für die Gültigkeit nur per Klick erreichbar ist. Auch dort wird bei einer Eingabe 0421 ein Slash eingefügt und dann das CVC-Feld aktiviert. Die Eingabe 0421789 wird also in 04/21 und das nächste Feld 789 umgewandelt.
Wenn der Webshop-Betreiber allerdings all diese Details komplett einem Diensteanbieter überlässt ohne sie vor dem Rollout in die Produktivität zu testen, habe ich so meine Bedenken bezügl. der allgemeinen Professionalität der Seite.
Hilft mir bitte jemand dieses Konstrukt einzuordnen?
Vielen Dank!
Spinnifex
Please also mark the comments that contributed to the solution of the article
Content-ID: 665737
Url: https://administrator.de/contentid/665737
Printed on: October 10, 2024 at 03:10 o'clock
6 Comments
Latest comment
Moin,
die von dir "entdeckten" Dienste polyfill.io, cloudfare.com und usercentrics.eu sind das was heute auf Websites/-shops üblich ist. JS-Helfer, DDoS Schutz, Cosent-Mangament etc. pp.
Und en Rest solltest du dem Betrieber des Shops so mitteilen. Entweder geht er darauf ein, oder ... "Vote with your Wallet" ist da mein Motto :D
lg,
Slainte
die von dir "entdeckten" Dienste polyfill.io, cloudfare.com und usercentrics.eu sind das was heute auf Websites/-shops üblich ist. JS-Helfer, DDoS Schutz, Cosent-Mangament etc. pp.
Und en Rest solltest du dem Betrieber des Shops so mitteilen. Entweder geht er darauf ein, oder ... "Vote with your Wallet" ist da mein Motto :D
lg,
Slainte
Das geht nicht.
Sobald man am Server zu einem Besucher Informationen verarbeitet. z.B. Login oder Warenkorb, muss der Server den Besucher identifizieren.
Das geht weder über den Agentstring noch die IP-Adresse, sonder nur über einen Cookie.
Daran erkennt der Server den Benutzer wenn er auf dem Server die Seite wechselt.
Diesem Cookie gibt er eine Lebensdauer mir.
Der Server weiß nicht ob Du einen Tab oder den Browser beendest.
Er kann nur sehen, dass Du seit 24 Stunden keine Seite mehr geöffnet hast und löscht die Session.
Der Cookie löscht sie im Browser von allein.
Stefan
Sobald man am Server zu einem Besucher Informationen verarbeitet. z.B. Login oder Warenkorb, muss der Server den Besucher identifizieren.
Das geht weder über den Agentstring noch die IP-Adresse, sonder nur über einen Cookie.
Daran erkennt der Server den Benutzer wenn er auf dem Server die Seite wechselt.
Diesem Cookie gibt er eine Lebensdauer mir.
Der Server weiß nicht ob Du einen Tab oder den Browser beendest.
Er kann nur sehen, dass Du seit 24 Stunden keine Seite mehr geöffnet hast und löscht die Session.
Der Cookie löscht sie im Browser von allein.
Stefan