Neu Aktivierung des Kundenkontos per Bestätigungsemail

[BLS-Miracle]

Hallo,
ich glaub ich steh gerade auf dem Schlauch und stell die einfachste Frage überhaupt, aber ich find irgendwie gerade keine passende Antwort, bzw. seh sie einfach nicht:

Momentan ist es bei mir im Shop (JTL Shop 5.6 - alles B2C) so: registriert sich ein Kunde neu, dann ist das Konto sofort erstellt und er kann sofort damit losegen.
Das halte ich für ein echtes Sicherheitsrisiko, denn hier könnte man ja alle mögliche Email-Adressen verwenden. Stichwort: Identitätsdiebstahl etc.

Einstellen kann ich im Backend "sofort aktiv und nutzbar" oder "muss in JTL WaWi aktiviert werden".

Was ich gerne hätte ist folgendes: der Kunde registriert sich, bekommt automatisch eine E-Mail, in der er einen Bestätigungslink klicken muss (oder einen Code erhält o.a.), um sein Konto freizuschalten. Damit wird dann auch automatisch seine Email-Adresse auf Echtheit überprüft und der Kunde kann sofort loslegen.

Was ich ausdrücklich nicht möchte ist, dass der Kunde auf die Freischaltung warten muss, bis ich sie aus der WaWi heraus manuell aktiviere. Denn registriert sich der Kunde z.B. am Abend, muss er bis zum nächsten Tag oder vielleicht sogar über's ganze Wochenende warten, bis er bestellen kann, weil vorher keiner Im Büro war, der es aktivieren hätte können. Bis dahin hat er seinen Artikel längst woanders gekauft.m Und zudem wird ja dann auch nicht geprüft, ob es wirklich seine Email-Adresse ist. 🤔

Was muss ich wo wie einstellen, damit es so funktioniert, wie ich es gerne hätte? Geht das überhaupt?

Gruß,
Michael

 

[martinwolf]

Hallo,
ich glaub ich steh gerade auf dem Schlauch und stell die einfachste Frage überhaupt, aber ich find irgendwie gerade keine passende Antwort, bzw. seh sie einfach nicht:

Momentan ist es bei mir im Shop (JTL Shop 5.6 - alles B2C) so: registriert sich ein Kunde neu, dann ist das Konto sofort erstellt und er kann sofort damit losegen.
Das halte ich für ein echtes Sicherheitsrisiko, denn hier könnte man ja alle mögliche Email-Adressen verwenden. Stichwort: Identitätsdiebstahl etc.

Einstellen kann ich im Backend "sofort aktiv und nutzbar" oder "muss in JTL WaWi aktiviert werden".

Was ich gerne hätte ist folgendes: der Kunde registriert sich, bekommt automatisch eine E-Mail, in der er einen Bestätigungslink klicken muss (oder einen Code erhält o.a.), um sein Konto freizuschalten. Damit wird dann auch automatisch seine Email-Adresse auf Echtheit überprüft und der Kunde kann sofort loslegen.

Was ich ausdrücklich nicht möchte ist, dass der Kunde auf die Freischaltung warten muss, bis ich sie aus der WaWi heraus manuell aktiviere. Denn registriert sich der Kunde z.B. am Abend, muss er bis zum nächsten Tag oder vielleicht sogar über's ganze Wochenende warten, bis er bestellen kann, weil vorher keiner Im Büro war, der es aktivieren hätte können. Bis dahin hat er seinen Artikel längst woanders gekauft.m Und zudem wird ja dann auch nicht geprüft, ob es wirklich seine Email-Adresse ist. 🤔

Was muss ich wo wie einstellen, damit es so funktioniert, wie ich es gerne hätte? Geht das überhaupt?

Gruß,
Michael

Der Shop kennt kein Double-Opt-In für die Registrierung. Ist meiner Meinung nach auch nicht notwendig, da der Kunde vom Shop eine entsprechende E-Mail an die bei der Registrierung verwendeten Adresse bekommt. Ein Identitätsdiebstahl wäre es in sofern, wenn eine Kombination aus E-Mail-Adresse und Namen verwendet wird, die nicht zusammengehören. Identitätsdiebstahl funktioniert ja nur, weil das Opfer es nicht mitbekommt. Kein Dieb wird für eine Registrierung die echte E-Mail Adresse des Opfers verwenden, denn dann hat das Opfer ja schon direkt Kenntniss über deren Missbrauch.

 

[Star Piercing]

@martinwolf

Da muss ich dir wiedersprechen, wir hatten schon öfters den Fall das der Dieb die korrekte eMail Adresse des Opfers verwendet hatte und die aber nicht reagiert haben bzw. auch eben viel zu spät.
So ausgschlossen ist das also nicht.

 

[Jan K.]

Hallo zusammen,

https://issues.jtl-software.de/issues/SHOP-3078

Aktuell kann es der Shop noch nicht.

 

[BLS-Miracle]

Neben Fake-Emails oder gestohlenen Adressen gibt es noch einen zweiten, noch wichtigeren Aspekt:
Es gibt einige Fälle, in denen bereits die Bestätigungs-Email nach der Registrierung als unzulässige Werbung abgemahnt wurde, weil dafür eben kein Double Opt-In vorlag! Daher ist dies m.M.n absolut essentiell! Und zudem ja eigentlich überall im Netz auch inzw. gängige Praxis.

 

[karabey]

Der Shop kennt kein Double-Opt-In für die Registrierung. Ist meiner Meinung nach auch nicht notwendig, da der Kunde vom Shop eine entsprechende E-Mail an die bei der Registrierung verwendeten Adresse bekommt. Ein Identitätsdiebstahl wäre es in sofern, wenn eine Kombination aus E-Mail-Adresse und Namen verwendet wird, die nicht zusammengehören. Identitätsdiebstahl funktioniert ja nur, weil das Opfer es nicht mitbekommt. Kein Dieb wird für eine Registrierung die echte E-Mail Adresse des Opfers verwenden, denn dann hat das Opfer ja schon direkt Kenntniss über deren Missbrauch.

Hatten das Problem auch bereits das Dateninhaber erst auf der Kreditkarte bemerkte und alles zu spät war. Bei Kreditkarten Zahlung entscheidet die Bank ob Kunde das Geld zurück bekommt und Kunde wird immer sein Geld durch die Bank bekommen damit sie den eigenen Kunden nicht diskutieren. Der Händler hat selbst den rechtlichen Weg anzufechten.