Bug: Datenbankbug bei Mehrfachbestellungen ohne Registrierung

upaffrath · April 30, 2010, 2:35pm

[QUOTE=csimon;28429]Das ist ein Schutz dagegen das du über eine Registrierung mit einer bestimmten E-Mail Adresse die bestellungen eines anderen Benutzers mit derselben E-Mail adresse einsehen kannst. Das ist unerwünscht, und daher eine recht wirksame Lösung.
…
Und nein, man kann bestellungen einer Emailadresse bei registrierung nicht einfach zusammenführen wenn sich jemand mit derselben emaildresse registriert. Das wäre ein riesen großes Datenleck und würde wenns auffällt garantiert eine Abmahnung nach sich ziehen.

Wie man sieht, richtig recht machen kann mans niemandem.[/QUOTE]

Hallo,

Prinzipiell leuchtet das Ganze ja ein - und trivial ist das bestimmt nicht. ABER - wenn ich die Möglichkeit anbiete (und meine Kunden finden das gut), auch ohne Registrierung zu bestellen, muss ich auch dafür sorgen, dass nicht Daten aus einer noch nicht bearbeiteten Bestellung komplett verschwunden sind - ODER?
Ist da in irgendeiner Weise Besserung in Sicht?

laramarco · April 30, 2010, 2:48pm

http://www.oxid-esales.com/forum/showthread.php?t=5160

ich glaube fast, daß das es noch weitaus mehr probleme gibt, vor allem auch MIT passwörtern und MALL. Hier häufen sich jedenfalls die Mails “kann mich nicht einloggen, erhalte kein Passwort” und das nur, weil der Haken “null” bewirkt.

ich finde man sollte hier beide Problematiken, die mit und die ohne Passwort dringendst lösen.

Firefax · April 30, 2010, 3:02pm

Vielleicht sollten wir einen Spendenaufruf starten, damit wir Oxid einen Telefonanschluss bekommt um sich per Modem ins Internet einzuloggen. Dann könnte wenigstens auf das eigene Forum reagiert werden und das Patch-Release 4.3.1 kommuniziert werden. :rolleyes:

laramarco · May 21, 2010, 9:41am

aus aktuellem anlaß greife ich dieses thema nochmal auf - bzw. generell mit und ohne passwort bestellen

habe eine kundin, die ihre bestellung ohne passwort gesendet hat
kundin hat danach ein konto mit passwort angelegt - doof nur, daß trotzdem im kundenkonto nun keinerlei verbindung zu bestehenden bestellungen möglich ist

somit kann ein kunde via “mein konto” auch keine stornierungen/teillieferungen einsehen.

und es kotzt zudem auch an, daß durch das löschen von kunden ohne kundenkonto ständig boniprüfgebühren bezahlt werden müssen, obwohl man prüfung nach 90 tagen eingestellt hat.

es muß doch machbar und möglich sein, daß all diesen bugs mal ein riegel vorgeschoben wird

simply_because · May 21, 2010, 10:41am

[QUOTE=laramarco;31742]aus aktuellem anlaß greife ich dieses thema nochmal auf - bzw. generell mit und ohne passwort bestellen

habe eine kundin, die ihre bestellung ohne passwort gesendet hat
kundin hat danach ein konto mit passwort angelegt - doof nur, daß trotzdem im kundenkonto nun keinerlei verbindung zu bestehenden bestellungen möglich ist

somit kann ein kunde via “mein konto” auch keine stornierungen/teillieferungen einsehen.
[/QUOTE]
Das halte ich für korrekt, denn die Kundin wollte ja bei der Bestellung nicht, das Daten gespeichert werden.

Die Verbindung findest Du in der Datenbank.
Beim User unter oxuser in oxregister das Datum zurück datieren vor das Datum in oxcreate. Dann wird die Historie angezeigt.

avenger · May 21, 2010, 11:19am

[QUOTE=simply because;31750]Das halte ich für korrekt, denn die Kundin wollte ja bei der Bestellung nicht, das Daten gespeichert werden[/QUOTE]
Sehe ich auch so…

Man kann nicht eine Bestellung “[B]ohne Anlage eines Kundenkonto[/B]” anbieten, und erwarten, dass der Kunde alle Möglichkeiten hat, die ein Kundenkonto eben bietet.

Wozu eben auch die Bestellhistorie gehört.

Der Kunde will dann ja [B]ausdrücklich [/B]keine überflüssigen Spuren hinterlassen.

Firefax · May 21, 2010, 3:57pm

[QUOTE=simply because;31750]
Die Verbindung findest Du in der Datenbank.
Beim User unter oxuser in oxregister das Datum zurück datieren vor das Datum in oxcreate. Dann wird die Historie angezeigt.[/QUOTE]

Das klappt nicht!

Durch Erstellung eines Kundenkonto mit gleicher Emailadresse wird ja ein neuer User in oxuser angelegt, indem der alte Benutzer überschrieben wird. Der alte User, der die Bestellung ohne Kundenkonto anglegt hat exisitert also in der oxuser nicht mehr, nur noch der neue mit Kundenkonto, aber ohne Bestellung. Der oxORDER ist nun kein oxUSER mehr zugeordnet, da die alte oxID.oxUSER nicht mehr existiert!

Man könnte jetzt aber manuell über phpmyadmin in der OXORDER die OXID des neuen OXUSERS eintragen und somit die Verknüpfung wieder herstellen.
Das [B]muss!!![/B] man ja sowieso machen, wenn falls man den Auftrag noch nicht abgeschlossen hatte, als der Kunde sein Kundenkonto angelegt hat. Ansonsten verschindet ja die Adresse bei jeder Änderung (z.B. Kunde hat bezahlt setzen) im Auftrag.

[B]Also, auch wenn die Kundin bei der Bestellung ausdrücklich keine überflüssigen Spuren hinterlassen wollte, man muß die Verknüpfung zu dem Kundenkonto wieder herstellen, wenn man den Auftrag bearbeiten will! Eine andere Möglichkeit gibt es im aktuellen Oxid Standard aktuell nicht ![/B]

CYA

csimon · May 22, 2010, 9:56am

[QUOTE=laramarco;31742]aus aktuellem anlaß greife ich dieses thema nochmal auf - bzw. generell mit und ohne passwort bestellen

habe eine kundin, die ihre bestellung ohne passwort gesendet hat
kundin hat danach ein konto mit passwort angelegt - doof nur, daß trotzdem im kundenkonto nun keinerlei verbindung zu bestehenden bestellungen möglich ist

somit kann ein kunde via “mein konto” auch keine stornierungen/teillieferungen einsehen.

und es kotzt zudem auch an, daß durch das löschen von kunden ohne kundenkonto ständig boniprüfgebühren bezahlt werden müssen, obwohl man prüfung nach 90 tagen eingestellt hat.

es muß doch machbar und möglich sein, daß all diesen bugs mal ein riegel vorgeschoben wird :([/QUOTE]

Wenn es wie beschrieben wäre, dann wäre dies ein Bug, da so jeder Mensch der weiss das der kunde in einem shop bestellt hat beliebig alle persönlichen Daten des Kunden einsehen könnte indem er sich mit der Email Adresse des Kunden registriert. Das würde man umgangssprachlich als Datenleck bezeichnen.

Deswegen ist die aktuelle Verfahrensweise so eigentlich korrekt. Vielleicht sollte man aber das Kundenkonto bei Bestellungen ohne Registrierung noch ein wenig mehr von der Bestellung selbst abkoppeln, sodass es für den Shopbetreiber trotz fehlenden Benutzers möglich ist alle Handlungen die bei so einer Bestellung nötig sind trotzdem durchzuführen.

laramarco · May 22, 2010, 10:13am

abgesehen von dem ganzen löschen und neu anlegen von kundendaten bei “nicht registrierten”

wie sehen denn andere shopbetreiber die kosten, die zusätzlich anfallen

jedes mal eine boniprüfung zu bezahlen halte ich schlicht für inakzeptabel

der kunde will kein kundenkonto, schön und gut, aber es ist nicht wirklich vertretbar, daß WIR jedes mal eine boniprüfung bezahlen.
angenommen der kunde bestellt heute 1 knäuel für 1 euro, morgen fällt ihm ein, hey hab ja noch die anleitung für 1,50 vergessen, shopbetreiber bitte die 2 orders zusammen packen

hey klasse sagt sich der shopbetreiber, 2x boniprüfung für 2,50 ware

laramarco · May 22, 2010, 10:18am

ach noch was - bitte mal jemand in einer ee mit mall also subshop prüfen

wenn zahlart rechnung ab 30 euro gültig sein soll wird im subshop keine rechnung angezeigt, kann das jemand bestätigen ??
subshop greift hier auf 0 euro, und da erst ab 30 euro gültig, wird nix angezeigt

demzufolge muß ich derzeit rechnung ab 0 euro freigeben, und deshalb kommen auch so kleinstbestellungen in die boniprüfung, siehe letztes posting.

avenger · May 22, 2010, 10:26am

[QUOTE=csimon;31833]Wenn es wie beschrieben wäre, dann wäre dies ein Bug, da so jeder Mensch der weiss das der kunde in einem shop bestellt hat beliebig alle persönlichen Daten des Kunden einsehen könnte indem er sich mit der Email Adresse des Kunden registriert. Das würde man umgangssprachlich als Datenleck bezeichnen.

Deswegen ist die aktuelle Verfahrensweise so eigentlich korrekt. [/QUOTE]
Ja, vor allem auch, weil man dem Kunden bei “Bestellung ohne Registrierung” ja zusagt, das für ihn kein permanentes Kundenkonto angelegt wird.

       [B]Option 1[/B]                          [B]Einkaufen ohne Registrierung[/B]

          (Ich möchte kein Kundenkonto anlegen.)

Im Gegensatz dazu die Beschreibung der Vorteile eines Kundenkontos:

       [B]Option 3[/B]                          [B]Persönliches Kunden-

Konto eröffnen.[/B]

          Mit einem Kundenaccount haben sie folgende Vorteile:

                             - Verwaltung der Lieferadressen
              - Prüfung des Bestellstatus
              - Bestellhistorie
              - persönlicher Merkzettel
              - persönliche Wunschliste
              - Newsletter-Abo
              - Sonder- und Rabattaktionen

Aus der kürzlich darüber geführten Diskussion in der “developer mailing list” habe ich Ralf Trapp so verstanden, dass das in diesem Sinne geändert wird…

Ich hatte da noch mal die Vorgehensweise von xtCommerce beschrieben, die genauso arbeitet:

Während des Checkouts wir ein temporärer Account angelegt, der nach erfolgreichem Checkout wieder gelöscht wird.

Alle für die Auftragsabwicklung notwendigen Daten werden dann in der Bestellung gespeichert, die von der Shop-Software dann nie mehr geändert wird.

Nur der Admin kann noch gezielte Änderungen vornehmen (Adressen, Artikel usw.).

Damit werden alle Anforderungen an eine Bestellung ohne Kundenkonto für den Kunden und den Shop-Betreiber erfüllt.

Wobei ich das Problem eigentlich immer noch nicht verstehe: man deaktiviert einfach die Möglichkeit der Gastbestellung, und gut ist…

Ich kennen “laramarco”'s Argument, dass sie aber auch dann gerne dieses und jenes Feature einer Bestellung mit Kundenkonto haben möchte.

Aber m.E. schließen sich die Anforderungen an beide Bestellformen teilweise gegenseitig aus:

Der Gastbesteller will ja ausdrücklich nicht, dass er permanent im System als Kunden angelegt ist, und nur die für die Bestellabwicklung (und rechtlich) notwendigen Daten dürfen deshalb in dieser einen konkreten Bestellung gespeichert werden.

Diese Bestellungen stehen singulär im System.

Und wenn einer 10 mal als Gast bestellt, stehen halt seine 10 Bestellungen (wie in xtCommerce) in der Datenbank 'rum, ohne dass sie einem Kunden zugeordnet sind. (So soll es nach meinem Verständnis mindestens werden.)

Man kann halt nicht ein Stück Kuchen essen, aber die Torte dennoch ganz behalten wollen…

laramarco · May 22, 2010, 10:30am

[QUOTE=avenger;31839]

Wobei ich das Problem eigentlich immer noch nicht verstehe: man deaktiviert einfach die Möglichkeit der Gastbestellung, und gut ist…

[/QUOTE]

um aus shopbetreibersicht die zusätzlichen zeitlichen aufwendungen (nachfragen zur bestellung, was man im kundenkonto eben selbst sehen könnte) und kosten zu minimieren bleibt uns in der tat keine andere wahl, siehe punkte kosten bonitätsprüfungen.

simply_because · May 22, 2010, 11:13am

[QUOTE=laramarco;31837]abgesehen von dem ganzen löschen und neu anlegen von kundendaten bei “nicht registrierten”

wie sehen denn andere shopbetreiber die kosten, die zusätzlich anfallen

jedes mal eine boniprüfung zu bezahlen halte ich schlicht für inakzeptabel

der kunde will kein kundenkonto, schön und gut, aber es ist nicht wirklich vertretbar, daß WIR jedes mal eine boniprüfung bezahlen.
angenommen der kunde bestellt heute 1 knäuel für 1 euro, morgen fällt ihm ein, hey hab ja noch die anleitung für 1,50 vergessen, shopbetreiber bitte die 2 orders zusammen packen

hey klasse sagt sich der shopbetreiber, 2x boniprüfung für 2,50 ware :([/QUOTE]

Was machst Du, wenn zwischen den beiden Bestellungen ein Antrag auf Privatinsolvenz gestellt wird? Bei 2,50 vielleicht kein Thema, aber es gibt ja auch Bestellungen, die haben einen höheren Wert.

simply_because · May 22, 2010, 11:19am

[QUOTE=laramarco;31840]um aus shopbetreibersicht die zusätzlichen zeitlichen aufwendungen (nachfragen zur bestellung, was man im kundenkonto eben selbst sehen könnte) und kosten zu minimieren bleibt uns in der tat keine andere wahl, siehe punkte kosten bonitätsprüfungen.[/QUOTE]

Selbst dann wird es immer wieder Kunden geben, die ein Kundenkonto eröffnet haben, die nicht in Ihr Konto schauen sondern anrufen, E-Mails senden usw…
Wie oft kommt es vor, das Kunden sogar auf die Versandbenachrichtigung inkl. Paketnummer und Trackinglink antworten und fragen wo Ihre Bestellung bleibt. Obwohl im Tracking steht, das das Paket in der Postfiliale zur Abholung bereit liegt.

laramarco · May 22, 2010, 11:37am

[QUOTE=simply because;31844]Was machst Du, wenn zwischen den beiden Bestellungen ein Antrag auf Privatinsolvenz gestellt wird? Bei 2,50 vielleicht kein Thema, aber es gibt ja auch Bestellungen, die haben einen höheren Wert.[/QUOTE]

zwischen 2 bestellungen, die innerhalb eines tages gemacht werden, würde keine creditpassdatenbank geändert werden - du kennst selbst die “langwierigen” wartungsintervallen.

es geht doch hier um bestellungen, die innerhalb kurzer zeit sich wiederholen, und da kann ich in efire 90 tage (nachprüfung) einstellen, das juckt doch bei “mehrfachkontos” (ohne reg neues konto) ja gar nicht.

laramarco · May 23, 2010, 11:24am

ähm bescheidene weitere neue Frage zu diesem blöden Handling mit Kundendaten.

Wenn ich einen Kunden aufgrund verstärkt vieler Rücksendungen in Pixi sperre oder ihn dort auf “zukünftige Bestellungen nur noch Vorkasse” setze - ähm bei dieser aktuellen Möglichkeit, daß der Kunde immer wieder ein neues Kundenkonto erstellt, ist das doch für die Katz und greift überhaupt nicht.

Wer schützt denn nun MICH vor diesem Kunden und dessen eigentlicher “Sperre” ??

csimon · May 23, 2010, 12:29pm

Garnix, aber selbst mit Sperre schützt dich davor fast nix. Der kann sich ja tote Briefkästen zunutze machen oder Packstationen.

MBa · May 23, 2010, 12:31pm

Also, wenn ich als Kunde ohne Kundenkonto bestelle, [B]dann möchte ich auch dass meine Daten nicht gespeichert werden[/B]!

Wenn ich als Shopbetreiber bestellen ohne Kundenkonto anbiete,[B] dann sind mir auch die Nachteile bewusst[/B].
Dementsprechend kann ich diesen Kunden ohne Konto doch auch bestimmte Zahlungsarten verweigern…
Dies sollte auch den Kunden ohne Konto klar sein, dass ein richtiges Kundenkonto Vorteile hat.

Fazit: Es sollen nur Daten erhoben werden, welche für diesen Prozess notwendig sind. Diese sollten in der Bestätigungsmail sein.

Ist halt so, entweder ich traue meinen Kunden oder nicht.

Eine automatisierte Entscheidung nur anhand des Scoringwertes halte ich schon für recht strittig. (keine Rechtsauskunft)

Wegen den Rücksendern. Ja, hier könnte man innerhalb von Oxid was lösen.
Eine weitere Tabelle welche Name, Vorname, Adresse, Geburtsdatum usw. ggf. mit Wildcards umfasst (Blacklist) und solchen Eingaben beim bestellen ohne Kundenkonto nicht zulässt.
[B]Aber eine 100% Lösung wird es nie geben[/B].
Selbst richtige Kundenkonten kann ich so viele erzeugen, wie es Freemail Adressen gibt.
Wenn man mit Blacklists und Wildcards arbeitet, halte ich es für sehr unwahrscheinlich, dass diese von normalen Shopbetreibern wartbar sind. Dann ist das gemeckere groß, dass Bestellungen aufgrund von falsch definierten Filtern nicht zustande kommen.

Naja, alles habe ich in diesen Thread nicht gelesen… scheinen mir aber generell noch ein paar Bugs (Newsletter?) zu geben. Diese sollten erstmal gefixed werden, bevor neue Features hinzukommen.

laramarco · May 23, 2010, 1:03pm

[QUOTE=MBa;31869]
Dementsprechend kann ich diesen Kunden ohne Konto doch auch bestimmte Zahlungsarten verweigern…
Dies sollte auch den Kunden ohne Konto klar sein, dass ein richtiges Kundenkonto Vorteile hat.

[/QUOTE]

blöde Frage, wie mach ich das ???

csimon · May 23, 2010, 1:46pm

einfach den zahlarten irgendeine gruppe zuordnen, dann gilts für keinen mehr.