Hallo,
es fiel mir schön häufiger auf, allerdings in unregelmäßigen Abständen:
Gelegentlich steht im Feld Telefon das Passwort, das der Kunde beim Anlegen des Kundenkontos eingegeben hat. Es fällt auf, wenn ich die Lieferadresse für DPD exportiere bzw. dort importiere und das DPD-System dann meckert.
Auch auf meinen Belegen wird in diesen Fällen an Stelle der Kundentelefonnummer das Kundenpasswort ausgedruckt.
Hat jemand ähnliches festgestellt oder hierfür eine Erklärung?
LG
Das Kundenpasswort? Das ist doch gehasht. Shopware selbst kennt dieses Passwort garnicht…
Das Passwort ist Shopware nur kurzzeitig nach dem Login bzw. der Anlege des Kundenkontos bekannt.
Mir sind da immer mal wieder sonderbare Zeichenfolgen oder offensichtliche Kinder- und Hundenamen im Telefonnummerfeld aufgefallen. Manchmal waren die gleichzeitig Bestandteil der Emailadresse, da hatte ich an das PW noch gar nicht gedacht.
Heute habe ich in ein Kundenkonto geschaut, das noch ohne Bestellung war und sehe diese Buchstaben-Zahlen-Kombi. Damit und mit der Emailadresse konnte ich mich im FE einloggen. Also kann es nur das PW sein.
Tatsächlich?
Wenn ich in die Kundentabelle (s_user) schaue so gibt es dort ein Password-Feld, z.B. mit dem Inhalt:
$2y$10$6A6nO0ml3ADAy7jcvHd.Me5UkpReb5.JVUnDlDpKZU0BdPz901yGe
Und das ist ein (salted) Bcrypt-Hash - den zu entschlüsseln dürfte momentan als unmöglich gelten.
Wo im Kundenkonto siehst du denn diese Buchstaben-Zahlen-Kombi?
Im BE öffne ich den Kunden, 2. Register mit den Adressen. Dort steht die Kombi im Feld Telefon.
In der s_user stehen bei mir auch die Zahlenkolonnen im Feld Passwort - auch bei diesem speziellen Kunden. Zusätzlich aber scheinbar entschlüsselt im Telefonfeld.
Gerade frage ich mich wie wahrscheinlich es ist, dass Kunden beim Eröffnen des Kundenkontos das Passwort einmal an der richtigen Stelle und einmal bei Telefon eingeben? Das Feld Passwort steht über dem Feld Telefon, dazwischen nur die Vorgabe mind. 8 Zeichen etc.
Ob da einige das PW 2x eingeben wollen? Fragen kann ich schlecht 
Ich könnte mir vorstellen, dass der Browser mancher Kunden automatisch versucht, das Formular zu füllen, und dabei gespeicherte Werte in z.B. das Telefonfeld schreibt, und der Kunde das nicht *schnallt*. Macht Chrome bei mir auch immer mal wieder gerne.
Die Idee von sonic klingt logisch. Wenn die Kunden natürlich selbst (auch Ausversehen) ihr Passwort in ein Klartext-Feld schreiben, dann hat man es auch im Klartext in der Datenbank. All der Aufwand mit sicheren Hash-Funktionen und dann schreiben die Kunden ihr Passwort einfach ins Telefonnummerfeld. Yep
So wird es wohl sein.
Bei mir sind die Formulare und Farben “Standard”, also eine fertige Kombi die von SW mitgeliefert wurde. Die im Formular eingetragenen Angaben “Name*” “Telefon*” etc. sind sehr blass. Möglicherweise wäre eine kräftigere Farbe hier hilfreich. Allerdings “verstelle” ich dann wohl auch an anderer Stelle die Farbe, wenn ich da in der Konfig was ändere…
Es hilft alles nichts, ich werde jetzt versuchen das Formular so umzustellen, dass die Telefonnummer im Bereich „Ihre Adresse“ abgefragt wird.
An der jetzigen Stelle schreiben die Kunden entweder das Passwort oder die Emailadresse ein zweites Mal rein. Unter Nachnahme und vor Emailadresse wäre evtl. auch eine Option.
Mindestens genau so hilfreich, wäre eine Prüfung der Eingabe in diesem Feld. Wenn Telefonnummer als Pflichtfeld gefragt wird, sollte zumindest geprüft werden, ob nur Zahlen und - oder / vorhanden sind. Das würde das Problem auch beheben.
Hat dazu jemand eine Idee?
Für mich klingt das so als würden die Kunden denken es würde ein zweites Mal das Passwort eingegeben werden müssen - wie es ja oft der Fall ist.
Wie sieht denn das Formulaer bei dir aus?
Standard?
Ich bin sicher, dass sie denken, es werden Passwort oder EMail ein zweites Mal abgefragt. Das Formular ist so, wie von SW geliefert.
Wenn ich weiß, in welcher Datei das Formular zu finden ist, ist es vermutlich nicht schwer, es zu ändern. Ich muss den block mit der Telefon nur eben woanders platzieren - nehme ich mal ganz naiv an.
Prinzipiell finde ich es auch nicht geschickt, dass man das Feld beliebig ausfüllen kann. Schreibt z.B. jemand nur eine Null hin, weil er die Nummer nicht angegeben möchte, wird das akzeptiert.
Ich werde auch versuchen, einen Hinweis darunter anzubringen, dass die Nurmmer ausschließlich für Rückfragen zur Bestellung verwendet wird.
Ich glaube du musst ein Template anlegen welches den Block einfach überschreibt. Das ist wohl am Standard-tauglichsten.
Aber damit kenne ich mich nicht so gut aus, deshalb hoffe ich dass dir jemand kompetenteres hier helfen kann
Wie ich das Template ändere, weiß ich. Ich hab nur noch nicht gesucht, welche Datei zuständig ist.