Denkanstoß gesucht

    Brauche mal einen Denkanstoß.

    Der Sachverhalt:
    Es gibt eine Datenbank mit Kundendaten.
    Diese Daten sollen permail in einem Link in ein Formular überttagen werden. Das wäre durch das Anhängen der Variablen an den Link ersteinmal kein Problem.

    Probleme ergeben sich durch die Gefahr der Möglichkeit Schadcode einzuschleusen und die Anzahl der Variablen.

    Die Variante Kundenzugang über Kundenkonto + Passwort ist nicht wirklich praktikabel und vermutlich auch nicht revisionssicher.

    In der Praxis soll das so aus sehen, dass Max Muster, der Altkunde ist, eine email bekommt "wenn sie dieses Produkt möchten brauchen wir folgende ergänzende Angaben" -> Link zum Formular, dass schon mit seinen Stammdaten ausgefüllt ist.

    Ich hoffe, dass ich es verständlich rüber gebracht habe.

    Hat jemand einen Denkanstoß?

    Frei nach Dieter Nuhr
    Das Internet ist zum Lebensraum der Dauerbeleidigten geworden, die immer einen Grund finden, anderen irgendetwas vorzuwerfen, um sich selbst moralisch zu erhöhen.

    Habs glaube verstanden.
    du willst Mail rausschicken und in der mail soll bspw das so stehen:
    Blabablubb... folgende ergänzendeangaben-"autologin".

    Bin zwar kein Programmierer, aber Datenbanken können auch MD5, vielleicht kann man da einen Parameter anhängen, der eben so codiert ist. Dann muss natürlich überprüft werden ob dieser "Hash" stimmt.

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    - nun stolz rauchfrei - Ich denke also Bing ich!

    Support 24h Bereitschaft 0173 6107465 - NUR Für Kunden von SEO NW!

    Nein, er will keine Angaben in der Mail, sondern einen Link in einer Mail, über den das Formular aufgerufen wird. Das Formular soll mit den vorhandenen Daten aber bereits gefüllt sein und nur die "folgenden ergänzende Angaben" sollen nachgetragen werden.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Im Prinzip machen das ja viele. Ich mit einem Link, der automatisch die Zugangsdaten per Mail sendet, Paketdienste mit der Paketverfolgung, Philips mit dem Supportformular etc. (zu Philips sage ich gleich noch was)

    Im Prinzip, ganz einfach gesehen.....

    Ein Link in der Mail mit einer einmaligen Kennung, z.B. der Kundennummer.
    Das Script ruft dann über die Kundennummer die Daten aus der DB ab und füllt das Formular. Wenn keine ID da oder sie falsch ist, dann bleibt das Formular leer.

    Natürlich darf das aber keine Kundennummer sein, denn da könnte man ja einfach 1-9999 durchgehen. Das muss eine einmalige Kennung sein, etwa MD5, am besten noch kombiniert mit einem Salt und oder einem weiteren MD5, der dann nochmals beide zusammen MD5.t

    Das Script muss dann also nur Gegenvergleichen, also die gleiche Routine anwenden und in der DB suchen, ob so was da ist. Also z.B. der MD5 aus der DB, verbinden mit dem z.B. den MD5 vom Namen und oder Salt, beide zusammensetzen und nochmals MD5. stimmt der dann mit dem aus der Mail überein, dann Treffer.

    Wobei aber natürlich auch md5 nicht optimal ist, aber tausend mal besser als eine Kundennummer. Noch besser wäre crypt().

    Aber, ein ganz GROßES ABER !!!

    Zugangsdaten senden geht, denn da ist eine fest definierte Zieladresse hinterlegt. Paketverfolgung auch, denn da ist nichts persönliches, nur wann das Paket ankommt, aber keine Namen oder Adressen.

    Philips macht das sehr unsauber, bin da selbst schon mehrfach drüber gestolpert. Einen Link zum Formular im Forum gepostet und alle, die den Link anklickten hatten ein Formular mit MEINEN Daten!

    Bedeutet also, wenn irgendjemand an den Link kommt, dann kann er fremde, persönliche Daten lesen und im schlimmsten Fall sogar Änderungen vornehmen, denn Du gehst ja davon aus, dass die Person die richtige Zielperson ist.

    Grob gesagt, ist dieses Vorhaben nichts anderes als ein passwortgeschützter Bereich, bei dem die Session in der URL übertragen und an fremde weitergegeben wird. Es besteht also keine Kennung, kein Vergleich mit dem Rechner, sondern rein mit der URL.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    also ich meinte das so.... vielleicht etwas wirr, aber mir gehts nicht gut:
    MD5 Parameter in der DB hinterlegen. Dann in der Mail den Parameter anhängen, besser wäre es sogar noch einen 2. MD5 Anzuhängen oder?
    Natürlich muss das gecheckt werden, wenns nicht stimmt, dürfen überhaupt keine Daten angezeigt werden.

    wenn etwas möglich erscheint mach ich das, wenn das nicht klappt gehts ans unmögliche und ansonsten das undenkbare.

    - nun stolz rauchfrei - Ich denke also Bing ich!

    Support 24h Bereitschaft 0173 6107465 - NUR Für Kunden von SEO NW!

    Achso.... Das hörte sich irgendwie anders an, habe es auch vier mal gelesen

    Zitat

    du willst Mail rausschicken und in der mail soll bspw das so stehen:
    Blabablubb... folgende ergänzendeangaben-"autologin".

    Frag doch mal Guppy, ob Du Dir den Satz " Ich hoffe, dass ich es verständlich rüber gebracht habe." ausleihen darfst :) **duck**

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Ja, so in der Art. Zwei Faktoren würde ich da immer rein nehmen, alleine schon, weil man da schneller in der DB suchen lassen kann und nicht alles vergleichen muss.

    Ich für meinen Fall habe z.B. einen Hash am Passwortanfrage-Link. Diesen Hash kann ich "gegenrechnen" und besteht dann aus zwei Bestandteilen. Einer Kundennummer und einem weiteren Hash. Über die Kundennummer geht es dann einfach zu suchen. Da muss man nicht alle Kunden durchtesten, sondern nur den einen. Und der zweite Teil im Hash ist selbst ein crypt aus einem fest definierten, persönlichen, in der DB hinterlegten Hash und email, Name, Adresse, Salt und noch ein paar Dinge. Selbst wenn ein fremder den Hash aus dem Link getrennt bekommt, dann hat er zwar die Kundennummer, aber die bringt im rein gar nichts. An den Hash, also den zweiten Teil, kommt er auch ran, aber damit kann er nichts anfangen, denn der besteht eben als crypt aus lauter verschiedenen und quasi zufälligen Bestandteilen.

    Aber das Problem ist mein "ABER" oben.

    MD5 ist schon mal nicht sicher, also was anderes nehmen. Aber auch das kann man errechnen oder per Zufall finden. Und der schlimmste Zufall ist eben der Fehler der Nutzer, dass der Link / Hash bekannt wird. Keine Ahnung was da für Daten gefüllt werden sollen, aber wenn das Adressen, Namen, Bankverbindungen etc sind und sich mit dem Formular auch Anträge ändern bzw. beauftragen lassen, dann würde ich persönlich die Finger von lassen.

    Sehe es bei meinen Kunden, keine Ahnung wie die das schaffen, aber die schaffen es. Da wird der Link zur Passwortanfrage irgendwie öffentlich gemacht und dann beschweren sie sich, weil sie teils mehrmals am Tag die Zugangsdaten zugeschickt bekommen, obwohl nicht angefordert. Klar, war ja auch ein anderer, der den Link nutzte. Also ständig einen Schlüssel ändern oder ein Ablaufdatum einbauen oder oder oder. Nur da passiert halt nichts, außer dass der Kunde ständig eine Mail bekommt. Bei persönlichen Daten schaut das anders aus, auch wenn der Link vielleicht nur 6 Stunden gültig ist.

    Wenn ein Mensch nicht um dich kämpft, hat er nur gewartet, dass du gehst. ;(

    Also, definitiv für mich ist das Umsetzen zu kompliziert. Die "Aber" von Syno wären kein Problem, da das Script ja so gestaltet werden könnten, dass der Link nur 48h gültig ist und nur die Daten, die nachzutragen sind in die DB übernommen werden. Die Daten die sichtbar sind, sind Telefonbuchdaten, also Name, Vorname - auch kein Problem. Aber es ist insgesamt zu aufwändig glaube ich - müssen sie eben 5 Felder mehr ausfüllen. Und ob es der Revision vom Datenschutz standhalten würde, steht auch noch in den Sternen.

    Danke trotzdem.

    Frei nach Dieter Nuhr
    Das Internet ist zum Lebensraum der Dauerbeleidigten geworden, die immer einen Grund finden, anderen irgendetwas vorzuwerfen, um sich selbst moralisch zu erhöhen.