Geekly articles weekly

Wie auf Yulmart, um Zugang zu den Einkäufen von Organisationen nicht durch ein Loch, sondern durch eine Tür zu erhalten


Vor einiger Zeit erlaubten sie auf der Yulmart-Website, rechtliche Gegenparteien (Organisationen) mit physischen Konten zu verknüpfen. Personen, die zuvor telefonisch eingekauft oder eine neue hinzugefügt haben. Zur Identifizierung der Organisation wurden TIN und PPC ausgewählt, für die Authentifizierung wurde nichts ausgewählt.



Anstatt die Kontakttelefonnummer anzurufen oder eine E-Mail-Anfrage zu senden, bevor die Organisation mit dem Konto verknüpft wird (diese Daten werden beim ersten Kauf angegeben), wurde beschlossen, alle Käufe, die nicht über das Konto getätigt wurden, einfach vor diesem Konto zu verbergen. Die Lösung ist alles andere als ideal, obwohl sie ihre Aufgabe auf die eine oder andere Weise erfüllt. Und alles wäre in Ordnung, wenn Yulmart seine Krücke bei der Entwicklung einer mobilen Anwendung nicht vergessen hätte.

Wenn Sie eine beliebige Organisation, die in Yulmart Einkäufe getätigt hat, über die Website mit Ihrem Konto verbinden, erhalten wir über die mobile Anwendung Zugriff auf alle Bestellungen, sowohl abgeschlossene / nicht eingelöste als auch aktuelle. Die Situation ist unangenehm (trotzdem wurde die Vertraulichkeit verletzt. Warum sollte jemand außer der Steuer wissen, was ich dort kaufe?), Aber es stellt sich heraus, dass es nicht die traurigste ist - wir können die aktuellen Bestellungen jederzeit stornieren. Sicher unbezahlt, bezahlte haben einen Stornierungsknopf, haben ihn aber aus offensichtlichen Gründen nicht überprüft.



Vor ungefähr zwei Wochen habe ich den entsprechenden Aufruf durch den Dienst mit Feedback und Vorschlägen hinterlassen (es gibt kein entsprechendes Feedback, und die Manager zucken mit den Schultern bei der Frage „Wo soll ich schreiben?“). Ein paar Tage später erhielt ich die Nachricht, dass die Informationen übermittelt wurden und in naher Zukunft korrigiert werden. Vielleicht werden sie es korrigieren, aber bis jetzt sind die Dinge noch da, so dass die Veröffentlichung auf Hiktims nicht überflüssig sein wird. Ist das richtig?

UPD: Behoben. Genauer gesagt reichen nur noch TIN und PPC aus, um die Organisation zu binden. In der mobilen Anwendung und auf der Website sind jedoch nur Bestellungen von diesem Konto sichtbar.

Source: https://habr.com/ru/post/de383675/

More articles:


All Articles