Nous utilisons Magento Enterprise (1.12) et plusieurs clients me disent déjà qu'ils ont reçu leur mot de passe par courrier électronique lorsqu'ils se sont inscrits pour créer un compte. Je sais que cela est considéré comme une mauvaise pratique, mais vient avec Magento hors de la boîte.
Je vais le changer et le supprimer du modèle d'e-mail, ce qui est assez simple, mais j'étais simplement curieux de savoir pourquoi Magento le fait si cela a longtemps été considéré comme une mauvaise pratique? Je sais que peu d’informations sensibles sont stockées dans un compte utilisateur et que nous effectuons la validation des cartes de crédit, mais "Magento Enterprise le fait de cette façon, donc ça doit aller." semble être une mauvaise réponse pour moi à donner ..
En outre, de nombreux développeurs Magento font-ils souvent de ce problème une "liste de tâches à faire" lors de la création d'un nouveau site Magento, comme la suppression de la validation du téléphone?
Réponses:
Non, ce n'est vraiment pas le cas!
Non, malheureusement pas. Nous devrions probablement, mais c'est généralement l'un des éléments les plus bas de la liste des soucis. Au cours des 5 dernières années, je ne me souviens que d’un seul client à ce sujet. C’est après avoir reçu un e-mail enflammé d’un client qui n’était pas trop content que son mot de passe lui ait été envoyé par e-mail et qui s’interrogeait alors sur la sécurité de l’avoir donné au site leur information CC pour passer commande.
Je recommande fortement de faire ce changement pour tout nouveau magasin. Cela vaut le peu de temps, et les supposés "avantages" que je mentionne ci-dessous ne valent pas les risques de transmission non sécurisée du mot de passe.
Oui, il y en a (bien que l'OMI, ils ne sont pas vraiment bénéfiques). Cela dépend probablement de la démographie du site, et je n'ai malheureusement pas de statistiques ici, mais les gens perdent leurs mots de passe. Des personnes comme moi utilisent des mots de passe uniques pour tout et les stockent dans des trousseaux, mais la plupart ne les écrivent pas. Un client qui ne peut pas passer de commande parce qu'il ne peut pas se connecter est soit un client / client perdu, soit un client mécontent qu'un RSC doit aider à utiliser le site.
Je ne suis absolument pas en train de dire que cela vaut le risque de sécurité! C'est juste une "raison" en soi pour laquelle ils sont dans les courriels en premier lieu.
Une chose importante qui entre en jeu est le simple fait que les gens utilisent toujours le même mot de passe dans de nombreux endroits. Ainsi, même s'il importe peu qu'un compte client de votre site Web soit compromis, le mot de passe peut être utilisé pour compromettre des comptes qui pourraient être de nature plus sensible. Cela ne signifie pas qu'un site de commerce électronique ne contient pas de données personnelles, mais il ne contient généralement pas le même niveau d'informations sensibles qu'une banque, par exemple.
Le risque pour chaque magasin de commerce électronique individuel devient beaucoup plus grand (indépendamment de la polarité croisée des mots de passe) lorsque les informations de carte de crédit sont stockées pour faciliter la commande et l'achat. Cela vous expose au risque de voir des utilisateurs non autorisés entrer dans le compte, effectuer des achats sur une carte de crédit et faire livrer la commande ailleurs.
Quelle version de Magento est utilisée, dans ce cas, importe peu. Toutes les versions avec lesquelles j'ai travaillé (y compris EE 1.13) envoient le mot de passe du compte du client en texte clair par courrier électronique lors de la création du compte initial. Les versions plus récentes n'incluent pas le mot de passe dans les courriels de réinitialisation de mot de passe et optent plutôt pour un lien expirant. Mais si vous réinitialisez le mot de passe à partir de l’administrateur, même situation, il est envoyé en texte clair.
Empêcher le mot de passe d'être envoyé dans les e-mails d'enregistrement de compte est assez simple et peut être facilement effectué à partir de l'administrateur de Magento en suivant quelques étapes simples:
Allez dans Système> Courriels transactionnels
Cliquez sur le bouton Ajouter un nouveau modèle
Dans le menu déroulant Modèle, choisissez "Nouveau compte".
Chargez le modèle dans le formulaire en cliquant sur le bouton Charger le modèle.
Recherchez la ligne de code suivante dans le modèle et supprimez-la:
Modifiez la copie dans le modèle pour mieux refléter la nature de l'e-mail. Certaines parties du modèle par défaut (ex: "valeurs suivantes") n'auront aucun sens si le mot de passe n'est pas présent ...
la source
System > Configuration > Customers > Customer Configuration > Create New Account Options > Welcome EmailDepuis ~ 1.6.1-rc CE, Magento est livré avec deux modèles de réinitialisation de mot de passe différents . L'un a le mot de passe en texte clair, l'autre un lien de réinitialisation. Le nom de fichier du modèle de lien de réinitialisation est
account_password_reset_confirmation.htmlpendant que le fichier de courrier électronique avec mot de passe en texte brut est appelépassword_new.htmlAller à:
Changez la valeur de "Modèle d'email oublié" en "Mot de passe oublié (Modèle par défaut de l'environnement local).
Modifier
En relisant (et @davidalger étant un homme si gentil), j'ai peut-être mal interprété. Cependant, il est également très facile de supprimer le champ de rappel de mot de passe dans le nouvel e-mail d'inscription du client. Editez la ligne (~ ligne 34):
Dans le dossier
app/locale/en_US/template/email/account_new.html.Ou bien, faites simplement passer votre vote et acceptez la réponse de @ davidalger parce qu'il le mérite!
la source
Notez que dans 1.9.x (et peut-être plus tôt), il existe un autre modèle (outre le
tard envoie également le mot de passe en texte clair.
la source
Notez que dans 1.9.x (et peut-être plus tôt), il existe un autre modèle (en plus du
New Accountmodèle) à modifier: leNew Account Confirmation Keymodèle envoie également le mot de passe en texte clair.la source