Neu Komplexe Bestellnummern als Spam-Protection

[Jan Rösch]

Hallo allerseits.

Ich habe ein kleines "Problem" mit JTL- Shop und würde mich gerne mal bei euch umhören, ob jemand eine Lösung dafür kennt.

Aktuell werden bei uns Bestellnummern im Shop fortlaufend und nach einem erkennbaren Schema vergeben. Nach Abschluss einer Bestellung ist daher gut vorhersagbar, welche Bestellnummern bereits existieren und zeitnah existieren werden. Das war bislang kein großes Thema für uns, bereitet mir aber im Zusammenhang mit der Einführung des Widerrufsbutton einige Sorgen.

Ich befürchte, dass der Widerrufsbutton missbräuchlich von Personen genutzt werden könnte, die fremde Bestellungen widerrufen und so einen Schaden verursachen wollen. Da man für den Widerruf keine Registrierung und noch nicht einmal eine Übereinstimmung von E-Mail-Adresse und Bestellnummer erzwingen darf, sehe ich hier wenig Möglichkeiten, sich dagegen zu wehren.

Ich hatte deshalb den Gedanken, dass es hilfreich sein könnte, Bestellnummern zufällig und ohne erkennbares Schema zu vergeben. So könnte man die Bestellnummer als eine Art Sicherheitsmerkmal verwenden und würde eine missbräuchliche Nutzung deutlich erschweren.

Leider konnte ich bislang keine Informationen darüber finden, ob und falls ja, wie, man die Bestellnummern in JTL-Shop auf eine solche Weise vergeben lassen könnte.

Ich würde mich sehr darüber freuen, wenn von euch jemand eine Lösung mit mir teilen würde und höre auch gerne Anregungen zu alternativen Umsetzungen.

Mit freundlichen Grüßen
Jan

 

[css-umsetzung]

Ich hatte überlegt, ob ich das in meinem Plugin mit einbaue, da es möglich wäre, die Bestellnummer zu manipulieren (habe ich bereits im 4er Shops für diverse Kunden gemacht), so dass diese nicht mehr fortlaufend ist.
Aber da ein Bot die Bestellnummernvorgabe Präfix oder Suffix des Shops nicht kennt, wäre das zu viel des guten.

 

[Jan Rösch]

Dem Benutzernamen nach zu urteilen, verwende ich exakt dieses Plugin.

Um die Bot-Abwehr mache ich mir hier wegen der Möglichkeit, reCaptcha und WAF zu verwenden, etwas weniger Sorgen. Mir ginge es eher um direkte menschliche Manipulation.

 

[fibergirl]

Ja dann wäre doch ein langer, zufälliger Hash-Wert die Lösung. Vielleicht sogar alphanumerisch.
Dann ist die Chance irgendwo bei Null, durch Herumprobieren eine gültige Bestellnummer zu treffen.
Müsste halt vom Plugin generiert werden.
.

 

[Jan Rösch]

Ja dann wäre doch ein langer, zufälliger Hash-Wert die Lösung. Vielleicht sogar alphanumerisch.
Dann ist die Chance irgendwo bei Null, durch Herumprobieren eine gültige Bestellnummer zu treffen.
Müsste halt vom Plugin generiert werden.

Das wäre durchaus eine Lösung. Fraglich wäre allerdings, ob das rechtlich aus zusätzliches Feld so zulässig ist.

Ich hätte mir als Kompromiss - auch zur einfacheren Implementierung - auch folgendes vorstellen können:
Aktuell sind die Kundenummern nach dem Schema [Präfix][Fortlaufende Nummer + Offset][Postfix] aufgebaut.
Würde man stattdessen ein Schema wie [Präfix][Pin][Fortlaufende Nummer + Offset][Postfix] oder [Präfix[Pin]][Fortlaufende Nummer + Offset][Postfix] verwenden, wäre es auch schon erheblich erschwert, Bestellnummern zu erraten und die Prüfung würde vollständig auf Basis der Bestellnummer stattfinden können.

Wenn man als Pin eine beispielsweise immer eine zufällige 4-,5 oder 6-stellige Zahl vergibt und bei beim Widerrufbutton einen kleinen Time-Out einbaut dann wäre das doch schon ein deutlicher Gewinn gegenüber der Ausgangslage.

Leider habe ich bislang kein Plugin gefunden, dass eine solche Funktion anbieten würde. Aber vielleicht könnte man im Präfix der Bestellnummer so mit einer Variable arbeiten, dass man zumindest eine pseudozufällige "Pin" bekommen würde?

 

[css-umsetzung]

Rechtlich ist es vollkommen egal wie die Bestellnummer aus dem Shop aufgebaut ist oder aussieht.
Möglich ist das verändern der Bestellnummer wie auch immer man möchte ohne Probleme, es gibt hierfür extra einen Hook.

 

[Jan Rösch]

Vielen Dank für die Anregungen.

Möglich ist das verändern der Bestellnummer wie auch immer man möchte ohne Probleme, es gibt hierfür extra einen Hook.

Ich habe mich nun für diesen Weg entschieden und dafür ein Plugin geschrieben.

 

[martinwolf]

Aktuell werden bei uns Bestellnummern im Shop fortlaufend und nach einem erkennbaren Schema vergeben. Nach Abschluss einer Bestellung ist daher gut vorhersagbar, welche Bestellnummern bereits existieren und zeitnah existieren werden. Das war bislang kein großes Thema für uns, bereitet mir aber im Zusammenhang mit der Einführung des Widerrufsbutton einige Sorgen.

Ich befürchte, dass der Widerrufsbutton missbräuchlich von Personen genutzt werden könnte, die fremde Bestellungen widerrufen und so einen Schaden verursachen wollen. Da man für den Widerruf keine Registrierung und noch nicht einmal eine Übereinstimmung von E-Mail-Adresse und Bestellnummer erzwingen darf, sehe ich hier wenig Möglichkeiten, sich dagegen zu wehren.

Ein Missbrauch kann an sich ausgeschlossen werden, da grundsätzlich nur der Vertragspartner, maximal noch eine bevollmächtigte Person vom Widerruf Gebrauch machen kann. Sprich, wenn Name/E-Mail nicht zur Auftragsnummer passt, müsstest Du als Verkäufer Dich erstmal mit der Person in Verbindung setzen, ob der Widerruf überhaupt rechtens ist, Stichwort Nachforschungspflicht. Hier ggf. Angaben von der Rechnung der der Bestellbestätigung abfragen um eine eindeutige Identifizierung zu gewährleisten. Eine der beiden Nachweise muss der Vertragspartner ja zur Hand haben. Das Absetzen eines Widerrufs durch den Verbraucher erzeugt in erster Linie nur eine E-Mail an Dich und diejenige Person, die den Widerruf abgesetzt hat. Weitere Maßnahmen liegen bei Dir. Daher sehe ich hier keine Gefahr eines Missbrauch oder gar Möglichkeiten eventuellen Schaden zu verursachen. Außer ihr nehmt den Widerruf blind an und erstattet das Geld.