6
Webshop ohne Browser Cookies
Hallo allerseits,
leider bin ich vor Kurzem über einen Webshop gestolpert, dessen ansonsten professionelle Dienste ich gerne weiter in Anspruch nehmen möchte, der aber aktuell mit gleich mehreren technischen Problemen daherkommt.
Meine Bitte an Euch: Ich möchte dem Webshop gerne eine Lösung anbieten / nahelegen /aufdrängen sich doch bitte nach einem System umzuschauen, das ohne Browser Cookies auskommt. Im Quelltext der Seiten habe ich Dienste entdeckt wie polyfill.io, cloudfare.com und usercentrics.eu, die ich als Webshop-Laie allerdings nicht wirklich einordnen kann.
Die technischen Probleme sehen so aus:
A) Vor dem Login als registrierter Benutzer muss auf dieser Seite (ich bitte um Verständnis, wenn ich die Adresse hier nicht veröffentlichen werde) zwingend eine PLZ eingegeben werden, wenn man die Sicherheitseinstellungen des Browsers so setzt, dass in einer Session gesetzte Cookies beim Schließen des Browsers gelöscht werden.
Das zu ändern bedarf es meiner Meinung nach nur eines unmittelbar zugänglichen Links zum Login - also ein leicht lösbares Thema.
B) Vermutlich durch ein Update eines der Dienste wurde nach Monaten der problemlosen Nutzung allerdings Server-seitig in den Adressdaten eine Änderung vorgenommen, die mich als Kunden von Bestellungen ausgeschlossen hat. Das konnte nach knapp einer Woche durch einen Workaround gelöst werden, hat aber die Unprofessionalität der Betreiber entlarvt, dass ich mir Sorgen um meine Kreditkarten-Daten (die ich hier auch nicht veröffentlichen werde
) mache.
In den Adressdaten werden nahezu alle Eingaben ohne Plausibilitätsprüfung erlaubt, u.A. für geteilte Hausnummern wie 25/1, 25-1 oder 25a. Bei der Eingabe von Telefonnummern wird dagegen die gängige Gliederung mit Leerzeichen wie 030 1234 1234 per Fehlermeldung, es wären hier keine Buchstaben (seit wann sind Leerzeichen Buchstaben??) erlaubt, abgewiesen. M.E. würde diese Fehlermeldung durch eine einfache isnumeric-Funktion vermieden.
Für die Kreditkarte wird eine per copy 'n paste eingefügte Nummer ohne Leerzeichen dagegen mit Leerzeichen in 4er-Gruppen aufgeteilt, wobei das Feld für die Gültigkeit nur per Klick erreichbar ist. Auch dort wird bei einer Eingabe 0421 ein Slash eingefügt und dann das CVC-Feld aktiviert. Die Eingabe 0421789 wird also in 04/21 und das nächste Feld 789 umgewandelt.
Wenn der Webshop-Betreiber allerdings all diese Details komplett einem Diensteanbieter überlässt ohne sie vor dem Rollout in die Produktivität zu testen, habe ich so meine Bedenken bezügl. der allgemeinen Professionalität der Seite.
Hilft mir bitte jemand dieses Konstrukt einzuordnen?
Vielen Dank!
Spinnifex
leider bin ich vor Kurzem über einen Webshop gestolpert, dessen ansonsten professionelle Dienste ich gerne weiter in Anspruch nehmen möchte, der aber aktuell mit gleich mehreren technischen Problemen daherkommt.
Meine Bitte an Euch: Ich möchte dem Webshop gerne eine Lösung anbieten / nahelegen /aufdrängen sich doch bitte nach einem System umzuschauen, das ohne Browser Cookies auskommt. Im Quelltext der Seiten habe ich Dienste entdeckt wie polyfill.io, cloudfare.com und usercentrics.eu, die ich als Webshop-Laie allerdings nicht wirklich einordnen kann.
Die technischen Probleme sehen so aus:
A) Vor dem Login als registrierter Benutzer muss auf dieser Seite (ich bitte um Verständnis, wenn ich die Adresse hier nicht veröffentlichen werde) zwingend eine PLZ eingegeben werden, wenn man die Sicherheitseinstellungen des Browsers so setzt, dass in einer Session gesetzte Cookies beim Schließen des Browsers gelöscht werden.
Das zu ändern bedarf es meiner Meinung nach nur eines unmittelbar zugänglichen Links zum Login - also ein leicht lösbares Thema.
B) Vermutlich durch ein Update eines der Dienste wurde nach Monaten der problemlosen Nutzung allerdings Server-seitig in den Adressdaten eine Änderung vorgenommen, die mich als Kunden von Bestellungen ausgeschlossen hat. Das konnte nach knapp einer Woche durch einen Workaround gelöst werden, hat aber die Unprofessionalität der Betreiber entlarvt, dass ich mir Sorgen um meine Kreditkarten-Daten (die ich hier auch nicht veröffentlichen werde
) mache.In den Adressdaten werden nahezu alle Eingaben ohne Plausibilitätsprüfung erlaubt, u.A. für geteilte Hausnummern wie 25/1, 25-1 oder 25a. Bei der Eingabe von Telefonnummern wird dagegen die gängige Gliederung mit Leerzeichen wie 030 1234 1234 per Fehlermeldung, es wären hier keine Buchstaben (seit wann sind Leerzeichen Buchstaben??) erlaubt, abgewiesen. M.E. würde diese Fehlermeldung durch eine einfache isnumeric-Funktion vermieden.
Für die Kreditkarte wird eine per copy 'n paste eingefügte Nummer ohne Leerzeichen dagegen mit Leerzeichen in 4er-Gruppen aufgeteilt, wobei das Feld für die Gültigkeit nur per Klick erreichbar ist. Auch dort wird bei einer Eingabe 0421 ein Slash eingefügt und dann das CVC-Feld aktiviert. Die Eingabe 0421789 wird also in 04/21 und das nächste Feld 789 umgewandelt.
Wenn der Webshop-Betreiber allerdings all diese Details komplett einem Diensteanbieter überlässt ohne sie vor dem Rollout in die Produktivität zu testen, habe ich so meine Bedenken bezügl. der allgemeinen Professionalität der Seite.
Hilft mir bitte jemand dieses Konstrukt einzuordnen?
Vielen Dank!
Spinnifex
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 665737
Url: https://administrator.de/contentid/665737
Printed on: April 18, 2024 at 03:04 o'clock
6 Comments
Latest comment
Moin,
die von dir "entdeckten" Dienste polyfill.io, cloudfare.com und usercentrics.eu sind das was heute auf Websites/-shops üblich ist. JS-Helfer, DDoS Schutz, Cosent-Mangament etc. pp.
Und en Rest solltest du dem Betrieber des Shops so mitteilen. Entweder geht er darauf ein, oder ... "Vote with your Wallet" ist da mein Motto :D
lg,
Slainte
die von dir "entdeckten" Dienste polyfill.io, cloudfare.com und usercentrics.eu sind das was heute auf Websites/-shops üblich ist. JS-Helfer, DDoS Schutz, Cosent-Mangament etc. pp.
Und en Rest solltest du dem Betrieber des Shops so mitteilen. Entweder geht er darauf ein, oder ... "Vote with your Wallet" ist da mein Motto :D
lg,
Slainte
Auch Moin!
Dem Betreiber meine Kritik mitzuteilen ist ja genau mein Weg. Nur möchte ich ein bisschen konkretere Hinweise geben können als nur Formular taugt nicht. Ich wüsste gerne ob die genannten Entdeckungenfür den Shopbetrieb sicher ohne Cookies auskommen.
Grüße
SFX
Dem Betreiber meine Kritik mitzuteilen ist ja genau mein Weg. Nur möchte ich ein bisschen konkretere Hinweise geben können als nur Formular taugt nicht. Ich wüsste gerne ob die genannten Entdeckungenfür den Shopbetrieb sicher ohne Cookies auskommen.
Grüße
SFX
Das geht nicht.
Sobald man am Server zu einem Besucher Informationen verarbeitet. z.B. Login oder Warenkorb, muss der Server den Besucher identifizieren.
Das geht weder über den Agentstring noch die IP-Adresse, sonder nur über einen Cookie.
Daran erkennt der Server den Benutzer wenn er auf dem Server die Seite wechselt.
Diesem Cookie gibt er eine Lebensdauer mir.
Der Server weiß nicht ob Du einen Tab oder den Browser beendest.
Er kann nur sehen, dass Du seit 24 Stunden keine Seite mehr geöffnet hast und löscht die Session.
Der Cookie löscht sie im Browser von allein.
Stefan
Sobald man am Server zu einem Besucher Informationen verarbeitet. z.B. Login oder Warenkorb, muss der Server den Besucher identifizieren.
Das geht weder über den Agentstring noch die IP-Adresse, sonder nur über einen Cookie.
Daran erkennt der Server den Benutzer wenn er auf dem Server die Seite wechselt.
Diesem Cookie gibt er eine Lebensdauer mir.
Der Server weiß nicht ob Du einen Tab oder den Browser beendest.
Er kann nur sehen, dass Du seit 24 Stunden keine Seite mehr geöffnet hast und löscht die Session.
Der Cookie löscht sie im Browser von allein.
Stefan
Danke Dir Stefan!
Wie gesagt, als WS-Laie hatte ich gehofft, dass sich da inzwischen etwas Neues entwickelt hat und auf Cookies verzichtet werden kann.
Mit den Session Cookies kann ich leben, nur das Login Cookie (PLZ) kann ich dem Betreiber jetzt ein wenig fundierter versuchen auszutreiben.
Schöne Grüße
Wie gesagt, als WS-Laie hatte ich gehofft, dass sich da inzwischen etwas Neues entwickelt hat und auf Cookies verzichtet werden kann.
Mit den Session Cookies kann ich leben, nur das Login Cookie (PLZ) kann ich dem Betreiber jetzt ein wenig fundierter versuchen auszutreiben.
Schöne Grüße
Hallo,
schreib doch mal die URL dann können wir genauer was die sonst noch so falsch machen
Bei den meisten Seiten/Shops findet man recht schnell Dinge...
Stefan
schreib doch mal die URL dann können wir genauer was die sonst noch so falsch machen
Bei den meisten Seiten/Shops findet man recht schnell Dinge...
Stefan
Laß einfach die Cookies für die Seite zu.
Wo ist das Problem?
Wo ist das Problem?
1
