Alza.cz - informace o tom, kdo je registrovaný - security fail? rubrika: Návrh

3 Peta Sittek
položil/-a 2.11.2015
 
upravil/-a 2.11.2015

Včera při objednávce na alza.cz jsem se zarazil při posledním kroku v "Poděkování za doporučení". Když zadáváte email příjemce, přes XHR se vypalují POST requesty na to, jestli je daný email registrovaný. Pokud není, zobrazí se hláška "Pro vyzvednutí Alzáků se obdarovaný musí registrovat.", viz screen: https://www.dropbox.com/s/b7up0158zdnl1sl/alza.cz-order5.png?dl=0

Sice mají implementovaný Access-Control-Allow-Origin, ale tím, že lze registraci ověřovat takto jednoduchým requestem, nic nebrání tomu, aby si např. Mironet, CZC.cz apod. např. přes konzoli v prohlížeči porovnali svou databázi zákazníků s tou od Alzy a na základě toho jim poslali lákavou nabídku... Popř. se na to lze dívat obecně - nemám zájem, aby si kdokoliv zjistil, zda a kde jsem registrovaný.

HTTP POST

Alza.cz je alespoň konzistentní v tom, že tuto informaci prozradí i přes "Zapomenuté heslo" (stejně jako devel.cz). Namátkou jsem zkoušel i pár dalších eshopů a některé prostě na jakýkoliv input šikovně odpoví "Na daný email jsme vám zaslali...". Chápu, že jsou za tím i UX důvody (člověk by zadával svůj email s překlepem, popř. svůj druhý email a tam, kde by to čekal, nic nepřicházelo) - edit - ale má mít UX přednost před bezpečností?

Otázka je - myslíte si, že je popsané chování správné?

odkaz
7 ondrej.zara
odpověděl/-a 2.11.2015

Takovéto formě nepřímé těžby registrovaných e-mailů nelze zabránit, pokud chceme kupříkladu u registrace vysvětlit, že zadaná adresa je už zabraná. A to zpravidla chceme, takže zbývá blokování "útočných" pokusů na jiné úrovni -- frekvenční omezování, blokování IP a podobně.

Komentáře

  • ondrej.zara : A jinak tedy -- Mironet může porovnat svoji DB zákazníků s tou z Alzy, ale najde maximálně ty, které má on a Alza nikoliv. Naopak to, naštěstí, nefunguje. Takže marketingový vektor zmíněný v otázce mi přijde nerelevantní. 2.11.2015
  • Peta Sittek : Ten příklad s Mironetem vysvětlím, vidím v tom zajímavý zdroj dat k optimalizaci marketingových prostředků. - Když budu vědět, která část mých zákazníků nakupuje taktéž u Alzy, zkusím je od Alzy odloudit např. tím, že jim pošlu newsletter s produkty, které mám levnější. Zaprvé když si daný produkt koupí, tak je šance, že si přikoupí i něco jiného. A zadruhé buduji dojem, že jsem výhodnější. Pokud si takovou analýzu provedu u všech větších konkurentů - hmm? :) - Ta druhá část zákazníků je, předpokládejme, k Mironetu loajálnější a nemusím do nich tedy investovat tolik marketingovým prostředků. 2.11.2015
  • ondrej.zara : Jo, takhle to už smysl dává. 2.11.2015
  • mamatoto : pre zakaznika to znie ako vyhoda.. od minoretu dostane vyhodne zlavy a zaroven minoret nebude liat peniaze do marketingu kde netreba, bude mat mensie naklady a tym padom moze investovat do lepsieho zakaznickeho servisu alebo poskytnut dalsie zlavy. Parada... Kazdopadne, neuviedol si, ci sa ti to podarilo overit, verim, ze alza sleduje pocet requestov za cas z jednej ip/session takze to mozu mat podchytene. (aj tak to ci si registrovany musia dat najavo pri registracii ak je adresa obsadena) 3.11.2015
  • dark.apostata : Na Alze sa nenakupuje kôli cene (tá je skoro vždy vyššia) ale kvalite služieb takže neviem, či by malo zmysel posielať taký newsletter... 7.11.2015
  • mimi.vx : @dark.apostata ? ale jaka je tam kvalita sluzeb navic ? (krome AlzaCafe ...) 7.11.2015
  • Anonym : @mimi.vx Já můžu řící, že se mnou nikdy nediskutovali, pokud jsem šel cokoliv vrátit v termínu..., neptají se blbě proč to chci vrátit a nikde se dlouho nečeká. 7.11.2015
  • Misaz : Čistě teoreticky by však mohli takové request očekávat a porovnávat si databáze oboustranně. Popř. by si Alza mohla porovnávat databázi s konkurencí a (kdyby na to přišli) konkurenci vracet neplatné výsledky. 8.11.2015
  • mimi.vx : @uetoyo .. toto beru jako samozrejmnost kdekoliv, a v alze se ceka dlouho .. jinak by tam nebylo AlzaCafe 8.11.2015
  • Anonym : @mimi.vx ... ano doubleshot! (skrytá reklama :) 9.11.2015

Pro plný přístup na Devel.cz se prosím přihlaste:

Rychlé přihlášení přes sociální sítě:

Nebo se přihlaste jménem a heslem:

Zadejte prosím svou e-mailovou adresu.
Zadejte své heslo.