¿Asociar pedidos de invitados con una cuenta si el correo electrónico coincide?

Navega tus respuestas
1

Una tienda web permite pedidos de los invitados. Al realizar el registro de salida, el huésped debe proporcionar una dirección de correo electrónico (además de la dirección de envío y los datos de pago). Cuando esta dirección de correo electrónico ya esté en uso por un usuario registrado de la tienda, el pedido de invitado se asociará a esta cuenta de usuario.

¿Sería seguro asociar el pedido de invitado con la cuenta de usuario automáticamente, sin requerir que el invitado inicie sesión de antemano (para probar que el invitado es el que dice ser)?

¿Qué podría pasar (en el peor de los casos) cuando el huésped tiene intenciones maliciosas?

Escenario : Alice está registrada con su dirección de correo. Bob sabe esto y pide algo [que proporciona la dirección de envío y los datos de pago de él | Alice | otra persona] como invitado, ingresando la dirección de correo de Alice.

Ingeniería social sería el único vector de ataque que se me ocurre aquí. Lo que podría ser especialmente doloroso cuando el invitado seleccionó el pago por adelantado (resp. Por factura) y el usuario de alguna manera es engañado para que pague un pedido que se envía al huésped.

    
pregunta unor 09.12.2013 - 17:46
fuente

2 respuestas

2

No, no no. Esta no es una buena idea bajo ninguna circunstancia. Los pedidos de invitados son pedidos de invitados, período Requieren información de contacto, información de envío e información de pago ... Siempre.

El inicio de sesión proporciona la comodidad de no completar / alguna / toda esta información previamente rellenada, y es un requisito para que los pedidos se asocien automáticamente a una cuenta. Sin un proceso de inicio de sesión, básicamente estaría autentificando a un usuario solo por la dirección de correo electrónico, lo que nunca podría ser suficiente.

El único compromiso razonable que veo es que si un usuario invitado crea un pedido utilizando la dirección de correo electrónico de un usuario conocido, agréguelo a la cola y la próxima vez que el usuario inicie sesión en el sitio, puede preguntar si fue su orden y si tal vez les gustaría agregarla a su cuenta para fines de seguimiento / mantenimiento de registros, y darles la opción de confirmar o negar que fue de ellos.

Asociarlo a su cuenta automáticamente sería simplemente una mala idea, no solo por las razones que usted y GoD ya han declarado, sino también desde la perspectiva de la experiencia del usuario en cualquier caso que no esté en la ruta feliz (uso diseñado) .

    
respondido por el Xander 09.12.2013 - 18:23
fuente
0

Supongo que en realidad no permitirías que alguien ordene algo sin solicitar primero la verificación por correo electrónico. Dejar eso sería algo malo, ya que Bob podría:

  • Envíe artículos de Alice sin que ella los haya pedido
  • Envíe artículos a sí mismo o a un cómplice, pegando a Alice con la cuenta

Hay una fuga de información con este escenario, Bob podría determinar si Alice es un cliente del sitio si conoce su dirección de correo electrónico, o simplemente podría hacer pedidos falsos como invitado hasta que encuentre una cuenta que funcione. De cualquier manera descubre un cliente.

Lamentablemente, no puede hacer nada para evitar la actividad si desea utilizar usuarios invitados. La mejor opción sería permitir que las personas agreguen cosas a su carrito como invitado, pero una vez que quieran pagar, forzar un proceso de inicio de sesión / registro. Todavía está abierto para adivinar, Bob podría simplemente registrarse y seguir intentando diferentes direcciones de correo electrónico. No puedes evitarlo pero podrías:

  • Agregue captchas: esto no es perfecto pero eleva un poco el nivel de los bots
  • Notifique a los usuarios cuando alguien intente registrarse con su cuenta de correo electrónico, al menos tienen algún conocimiento si alguien está tratando de robar su identidad
respondido por el GdD 09.12.2013 - 18:00
fuente

Lea otras preguntas en las etiquetas

¿Cómo protege IPSec contra la falsificación de IP? ¿Cómo obtienen su información los servicios de ubicación del teléfono?