Мы используем Magento Enterprise (1.12), и мне уже приходили письма от нескольких клиентов, которые жаловались на то, что они получили свой пароль по электронной почте при регистрации учетной записи. Я знаю, что это считается плохой практикой, но поставляется с Magento из коробки.
Я собираюсь изменить его и удалить из шаблона электронной почты, что достаточно просто, но мне было просто любопытно, почему Magento делает это, если это долго считалось плохой практикой? Я знаю, что в учетной записи пользователя хранится мало конфиденциальной информации, и мы проводим проверку кредитных карт, но «Magento Enterprise делает это таким образом, поэтому все должно быть в порядке». кажется плохой ответ для меня, чтобы дать ..
Кроме того, многие ли разработчики Magento делают это частое исправление «списка дел» при создании нового сайта Magento, например удаление проверки телефона?
Ответы:
Нет, это определенно нет!
К сожалению, нет. Мы, вероятно, должны, но это, как правило, один из самых низких пунктов в списке беспокойства. За последние 5 лет я вспоминаю только одного клиента, который спрашивал об этом. Это было после получения пламенного электронного письма от клиента, который не очень обрадовался тому, что его пароль был отправлен им по электронной почте, и который затем подверг сомнению безопасность, предоставив сайту их данные CC для размещения заказа.
Я очень рекомендую сделать это изменение для любого нового магазина. Это стоит небольшого количества времени, и предполагаемые «преимущества», о которых я упоминаю ниже, не стоят рисков небезопасной передачи пароля.
Да, есть (хотя IMO они не очень полезны). Это, вероятно, зависит от демографической ситуации на сайте, и, к сожалению, у меня нет статистики, но люди теряют пароли. Такие люди, как я, используют уникальные пароли для всего и хранят их в цепочках для ключей, но большинство людей этого не делают, а записывают их на липкие заметки, прикрепляют к компьютерам или отправляют по электронной почте. Клиент, который не может разместить заказ из-за невозможности войти в систему, является либо потерянным заказом / клиентом, либо недовольным клиентом, которому CSR должен помочь в использовании сайта.
Я абсолютно не говорю, что это стоит риска для безопасности! Это просто «причина» как таковая, почему они в первую очередь в электронных письмах.
Важной вещью, которая вступает в игру, является тот простой факт, что люди все еще используют один и тот же пароль во многих разных местах. Таким образом, даже если не имеет значения, была ли взломана одна учетная запись клиента на вашем конкретном веб-сайте, пароль можно использовать для взлома учетных записей, которые могут иметь более чувствительный характер. Не то чтобы сайт электронной коммерции не содержал PII, но, как правило, он не содержал такой же уровень конфиденциальной информации, как, например, банк.
Риск для отдельного магазина электронной коммерции становится гораздо более значительным (независимо от перекрестного опроса паролей), когда хранится информация о кредитной карте, чтобы упростить повторный заказ и покупку. Это открывает вам риск того, что неавторизованные пользователи проникнут в учетную запись, сделают покупки по кредитной карте клиента и отправят заказ в другое место.
Какая версия Magento используется, в этом случае не имеет большого значения. Все версии, с которыми я работал (включая EE 1.13), отправляют пароль учетной записи клиента в виде открытого текста по электронной почте при первоначальном создании учетной записи. Более новые версии не включают пароль в электронные письма для сброса пароля и вместо этого выбирают ссылку с истекающим сроком действия. Но если вы сбрасываете пароль от администратора, такая же ситуация, он отправляется в виде открытого текста.
Предотвратить отправку пароля в письмах о регистрации аккаунта довольно просто, и администратор Magento может легко сделать это, выполнив несколько простых шагов:
Перейдите в Система> Транзакционные письма
Нажмите кнопку Добавить новый шаблон
В раскрывающемся списке «Шаблон» выберите «Новая учетная запись».
Загрузите шаблон в форму, нажав кнопку Загрузить шаблон
Найдите следующую строку кода в шаблоне и удалите ее:
Отредактируйте копию в шаблоне, чтобы лучше отразить характер письма. Части шаблона по умолчанию (например, «следующие значения») не будут иметь смысла без пароля ...
источник
System > Configuration > Customers > Customer Configuration > Create New Account Options > Welcome Email
Начиная с ~ 1.6.1-CE CE Magento поставляется с двумя различными шаблонами сброса пароля . Один имеет открытый текст пароля, другой ссылку сброса. Имя файла шаблона ссылки сброса находится в
account_password_reset_confirmation.html
то время, когда вызывается файл электронной почты с открытым текстом пароляpassword_new.html
Перейти к:
Измените значение «Забыли шаблон электронной почты» на «Забыли пароль» (шаблон по умолчанию из локали).
редактировать
Перечитав (а @davidalger такой деликатный), я, возможно, неправильно понял. Однако также очень легко удалить поле напоминания пароля в новом письме о регистрации клиента. Отредактируйте строку (~ строка 34):
В файле
app/locale/en_US/template/email/account_new.html
.Или просто проголосуйте и примите ответ @ davidalger, потому что он этого заслуживает!
источник
Обратите внимание, что в 1.9.x (а может и раньше) есть еще один шаблон (помимо
поздно также отправляет пароль в виде открытого текста.
источник
Обратите внимание, что в 1.9.x (а может и раньше) есть еще один шаблон (помимо
New Account
шаблона), который нужно изменить:New Account Confirmation Key
шаблон также отправляет пароль в виде открытого текста.источник