Lupta cu ecommerce-ul românesc #541

Cred că e un titlu bun.

Cămăși de școală fără dimensiuni? Da, e norma, că e greu să te uiți că copiii nu mai sunt toți la fel, și la 12 ani unii sunt mai grași, alții mai subțiri. Țineți-le pe stoc, că lenea de a pune dimensiunile în specificații e mare.

Am nevoie de un circular pentru ~10 tăieturi. De la Makita, alea două ieftine (5-600 lei) pe baterii nu sunt pe stoc. Următorul care e pe stoc, 1.100 lei. Am luat un Steinhaus de 150 lei pe curent, dar tare îmi vine să fac o românească, să îl comand pe ăla scump, să îmi fac treaba și să îl returnez.

Tot de la Steinhaus am luat acum un an sau doi polizorul ăsta de 100 lei, ca să nu mai schimb lama de pe singurul polizor pe care îl aveam. Rezistă și acum. Recomand.

Aveam nevoie de un produs specific, de la un seller care nu mai e pe eMAG. Le găsesc site-ul, dau comandă. Mă sună să confirme. Într-un acces de inspirație, întreb și are loc următoarea discuție:

– știți, am luat de la dvs. acum doi ani un alt produs, și nu mai e pe stoc, se numește X, știți cumva când va reveni?
– ah, îl avem în depozit, dar nu e pe site.
(mi s-a resetat sistemul de operare)
– DAȚI-MI DOUĂ!!!!!!!!!!!

Pentru materiale de construcții, recomand Mathaus.ro.

Mulțumesc că ai citit acest articol.
Dacă vrei să susții acest blog, cumpără un abonament de 5$

47 comentarii

  1. importator si partener oficial al unui prod important de componente, ii dau mail: buna ziua, vreau produsul x, a aparut anul acesta in aprilie, cand credeti ca il aduceti si la noi?

    dupa 1 luna primesc raspuns: buna ziua, si noi il dorim, nu stim sa va spunem sigur cand il aducem.

    da imediat vine noiembrie si iar o sa faci misto de aia care cumpara chestii de pe amazon.

    00
  2. Final apoteotic dar fara legatura cu subiectul!

    00
  3. Steinhaus ofera ceva-ceva calitate, asa ca am luat pana acum asa, mai ales ca am avut niste nevoi punctuale:
    – bormasina/surubelnita cu acumulatori (excelenta daca o cuplez cu niste biti Bosch, am mai luat una pt parinti)
    – motocoasa – okish, dar cam galagioasa si zic cunoscatorii ca se prea tureaza
    – aparat de sudat (nu am apucat sa o folosesc)
    – masina de slefuit
    Ma tot gandesc si la un compresor de la ei sau de la Raider..desi ma tot uit si la un aparat electric de vopsit de la Bosch.

    00
    • Eu am avut 2 compresoare Steinhaus pe care le-am returnat pentru ca nu functionau cum trebuire. Mi-a parut rau ca a trebuit sa le returnez, mai ales pe al doilea, in 2 cilindri. Ridica foarte repede presiunea si avea debit foarte bun de aer, ceea ce nu prea gasesti la acelasi pret.

      Am scris si un review in care am descris tot ce am patit, dar cei de la eMag nu mi l-au aprobat :). Poti sa incerci daca te tenteaza, poate ai mai mult noroc decat mine.

      Si eu am de la Steinhaus aparat de spalat cu presiune.. l-am forjat ani de zile si nu da nici un semn de oboseala. Dar compresoare eu nu mai incerc..

      00
  4. Semi off-topic:
    Fiindcă tot ai deschis subiectul de ecommerce românesc: când îți creezi un cont pe un site care se folosește de mândria patriei în materie de platforme ecommerce, adică GoMag, primești un mail de confirmare în care parola introdusă îți apare în plaintext alături de restul datelor tale (email, nume, etc).

    Am sunat la două din aceste siteuri pentru a le atrage atenția de ce nu este ok: la primul mi s-a răspuns cu „da, da” și m-a trimis la plimbare operatorul telefonic, la al doilea au luat legătura cu GoMag, iar ei le-au răspuns că știu de problema asta, dar că nu e grabă s-o rezolve.

    00
    • Si care e problema?

      Deduci cumva ca ei si stocheaza parolele in clar? Daca da, atunci gresesti amarnic.

      Tot ce poti deduce este ca in urma postback-ului, parola pe care ei oricum o primesc in clar pe server, e folosita in generarea e-mailului. Ca mai apoi o cripteaza sau nu pentru a o pune in baza de date – asta e o cu totul alta poveste pe care tu nu o stii.

      Ai facut cumva cerere de recuperare parola si ti-au trimis parola originala in clar? In acest caz ai putea deduce ca da, le stocheaza in clar in baza de date.

      00
    • Bai baiatule…. Vai si amar e username potrivit pentru tine. Parola nici macar pe server nu trebuie sa ajunga in clar… Cand pareseste browser-ul tau, parola deja nu mai trebuie sa fie in clar…

      00
    • Wait a minute… Am dat să recuperez parola la pcgarage, credeam că îmi vine link de resetare. Nu nu, am primit mail cu user și parola în clar (cifre).
      … nu știu dacă am vreun card salvat, să mă uit.

      00
    • @Zarax, din câte știu eu fără SSL/HTTPS e tot degeaba. Iar dacă ai comunicare secure mai bine nu faci nimic pe client. Asta ar însemna niște JS și acolo mai degrabă poate cineva să facă niscaiva reverse engineering.

      00
    • Nu am dedus că stochează parolele în clar, dimpotrivă, în urma discuției cu unul din siteuri, mi s-a comunicat că au luat legătura cu Gomag, iar Gomag i-a asigurat că parolele sunt criptate în baza de date.

      Problemă ar fi că nu este o practică ok să trimiți parola introdusă în emailul de confirmare, dat fiind că este o informație sensibilă. Nu prea am văzut alte platforme de ecommerce să facă acest lucru.

      La cererea de recuperare de parolă îți trimit o parolă nouă pe care ți-o setează ei și care este și ea în plain text (în loc să trimită un link de resetare a parolei sau ceva asemănător).

      Eu unul consider că ar fi bine să se investigheze un pic dacă partea de securitate din platforma Gomag este ok, chit că ei m-au asigurat că totul este ok.

      00
    • @Zarax amice, pune mana si afla cum functioneaza. tot timpul parolele ajung in CLAR pe server, comunicatia dintre client si server e criptata (ssl, etc) si asta e tot.

      Alternativa pe care o propui tu e sa te bazezi pe client ca face criptarea, client asupra caruia nu ai nici un control? bravo :)

      Mai bine taceai…

      00
    • @Vai și amar, există toate trei abordările, pe server, la client sau și-și.

      Sau, a patra: nici-nici, pe care o întâlnim la unele site-uri cu .ro în coadă :)

      00
    • @adyzah de acord, dar criptarea aia pe care o faci pe client nici buna de sampon nu e, adica nici macar nu te poti spala pe cap cu ea.

      Poti inspecta oricand la orice site pe client sa vezi ce se trimite cand completezi un formular… n-am vazut niciunde niciodata criptare pe client. Poate eventual la nivel de amuzament pentru copiii din clasa a 9-a care invata javascript.

      E plin de experti in IT peste tot, dar lucrurile elementare ne scapa – precum diferenta dintre criptarea canalului de comunicatie dintre client si server si criptarea parolei si a datelor in sine …

      00
    • @Eugen, nu am cont la pcgarage dar treaba stă așa:

      Ai cerut recuperare/resetare parolă.

      – dacă în email ți-a venit VECHEA TA parolă în clar, treaba e nasoală rău, fugi! (mă îndoiesc că o firmă cum e pcgarage ar avea așa gaură)

      – dacă ți-a venit o parolă random, eventual cu un mesaj că expiră în 5-10 minute, e ok-ish. Nu-i ideal, dar merge.

      00
    • @andrei g :

      Corect, nu tu ai presupus ca parolele sunt stocate in clar, ci proprietarul blogului care e expert in IT de altfel :)

      Singurul pericol in cazul tau ar fi ca peste 2 zile cineva sa arunce ochii peste mailul ala si sa afle parola.
      Pentru ca daca cineva are controlul asupra mailului tau, oricum poate cere link de resetare parola – cu sau fara parola initiala.

      00
    • @Vai si amar, vezi că zisesem și mai sus :) da, mai degrabă nu faci nimic pe client.

      00
    • S-a mai discutat chestia de multe ori… da, nu este ok sa trimiti parola in clar.
      Dar daca o trimiti in clar nu inseamna automat ca este stocata in clar. Afirmatia asta arata ca nu stii cum se face o autentificare.
      Recomandat este sa-si seteze/reseteze userul o parola de complexitatea x obligatorie, eventual care expira etc.

      Pe de alta parte daca cineva pune mana pe parola de la mailul tau si-si vede diverse parole in clar sau nu e cam game over cu tot cu resetare parola nu?

      00
    • Am avut aceasta problema cu Open Cart. Pur si simplu trimitea parola pe email, apoi o salva codata in baza de date. Efectiv trebuie modificat template-ul emailului de confirmare inregistrare.

      00
    • Trimisul în clar din thread-ul asta se referă la faptul că browserul trimite parola către server „în clar”, sa speram ca peste HTTPS. Asta e una, se poate discuta (vezi mai sus).

      Dar sa o pui apoi într.un mail, și sa o trimiți peste internet, unde merge în clar, oricine o poate intercepta, inspecta, stoca, etc. e un cu totul alt fel de clusterfuck. Mai imbecil decît cel care a făcut asta nu există.

      00
    • După ce ai trimis o parola pe email (fără sa fie criptat mailul ăla – și nici o platforma e-commerce nu are asa ceva, necesita ca destinatarul sa aibă un certificat sau cheie publica, și în plus platforma sa o și stie) , nu mai contează cum o stochezi, sincer.

      00
    • Tema de gandire ramane: ce conteaza cum se trimite/stocheaza parola daca atacatorul are acces la contul de email al victimei? Adica poate resetea ce si cum vrea din orice pozitie?
      De aici si nevoia de 2FA, IP white listing, confirmare cu cod SMS etc etc.

      Daca pui mana pe baza de date stocarea criptata (hash) tot nu e suficienta; se rezolva usor cu rainbow tables.
      Stocarea cu criptare + salt este mai eficienta dar nu infailibila.

      Pana la urma totul se reduce la costuri si desigur miza proiectului: nu o sa implementeze nimeni securitate bancara pentru un petshop online de unde iei rumegus la hamster.

      Stocarea parolei in clear text nu se mai practica din anii ’90.
      Nu a fost niciodata recomandata, nici macar pe vremea mainframe-urilor.

      00
    • Bă… v-ați adunat aici o grămadă de idioți.

    • băbăeț,

      criptarea este o operațiune reversibilă.
      Criptezi traficul intre calculator si server, insa la celalalt capat ea este decriptata.

      Īn afara unor cazuri patologice, informațiile de autentificare sunt stocate prin hash-uri (funcții ‘one-way’). Īn teorie, chiar daca un hacker ar pune mâna pe acel hash, n-ar obtine parola.

      Īn termeni foarte simpli, la autentificare serverul face un hash dupa parola introdusă şi īl compară cu cel stocat. Dacă se potrivesc, ai intrat.

      Acuma cu parolele trimise prin email e o poveste mai lunga. Poate fi un compromis acceptabil dacă autentificarea are şi un al doilea factor şi dacă parola trebuie schimbată la prima utilizare.

      00
    • @gupi, e prima dată în mulți ani când aud că se trimite parola în email la înregistrare.

      E aiurea rău, n-are nici un sens (de abia ai băgat-o !?!), n-am întâlnit până acum site-uri care te pun să o schimbi la 5 minute după ce ți-ai făcut cont. Iar 2factor auth n-au nici mulți din ăia mari (eventual opțional).

      Nu prea văd nici urmă de compromis acceptabil. E pur și simplu o aberație, vorba cuiva, poate e un template de email default (pentru teste) și nu-l mai modifică nimeni.

      00
    • Asta că parolele nu mai sunt stocate în clar din anii 90 este discutabil, putem să îi întrebăm pe cei de la Facebook de ce aveau o grămadă de parole stocate așa…

      De asemenea, sunt curios câte siteuri încă mai folosesc MD5 pentru criptarea parolelor :D

      00
    • @adyzah
      citește cu atenție un text înainte de a-l comenta!

      Am spus că trimiterea parolei în text clar poate fi un compromis acceptabil dacă sunt respectate niște condiții.
      Dacă tu nu te-ai întâlnit cu astfel de situații până acum, asta nu înseamnă că ele nu există.
      Vezi tu, în viață sunt situații când ești musai nevoit(ă) să accepți niște riscuri și dacă ai alte metode să le reduci la un nivel acceptabil, o faci.

      Succes!

      00
    • @gupi, nu ştiu de ce te-ai înțepat, de citit am citit cu atenție, dar nu e vorba aici de analiză pe text. Evident că „dacă”… dar aşa, e şi mai sigur dacă la înregistrare bagi 3 parole, ți se dă un cod. Îl scrii pe hârtie cu cerneală transparentă, faci o incantație şi apoi priveşti hârtia la lumina lunii. Vei vedea că s-a schimbat. Ținând degetele încrucişate amesteci literele şi obții noua ta parolă pe care, etc, etc.

      Se poate, dar nu se face aşa ceva. Iar cu „dacă n-ai auzit, nu există”, dă-mi te rog un exemplu de .com care îți trimite parola în clar şi mă retrag din discuție.

      00
    • https://imgur.com/a/dF5IceG

      La revedere, să fii sănătos!

      00
    • @gupi, omule, eu vorbesc de parola ta, aia bună, eco, de la țară, pe care o folosești în mai multe locuri. Gen ilovemarioara123, care îți dă gaură peste tot dacă e aflată. Probabil 90% din populația planetei are una-două parole pe care le folosește la greu. Ce-mi arăți tu acolo e altceva.

      00
    • @gupi, wow, deci bring ăla îți generează o parolă care nu are termen de expirare și care e trimisă pe email. Bună treabă.

      00
    • @gupi, mai frumos, intri în cont, dai reset password, nu ți se trimite confirmare pe email ca (eventual) ownerul să poată raporta că nu el a cerut reset. De curiozitate, ai vreo treabă cu ei/lucrezi acolo?

      00
  5. vezi ca mai vand si alte magazine Maktia, nu doar scule prime. inclusiv zivtools vinde in romania. astia sunt unguri

    00
  6. Nu recomanda mathaus. Stocurile nu au legatura cu realitatea! Am comandat produse printre care si cherestea, a ajuns doar cimentul. Au pus-o din nou pe stoc, am comandat-o din nou, au ajuns doar plasele sudate (din 5 produse). Dau comanda de tomberon de 240L si niste ciment. Ajunge cimentul, tomberonul nu(nu s-au obosit nici sa sune ca nu il au).

    00
  7. mi emi-a aparut popup de la emag. „in ultimele 12 luni ai platit 62 de lei pe serviciile de livrare. cu emag genius ai livrare gratuita pentru doar 8.25 lei pe luna”.

    ihim, deci eu am platit cu 62 de lei ceva ce genius mi-ar fi luat 99. si s-ar fi numit economie. ba baiatule, asa ceva….

    00
    • Emag sunt niste magari, mai nou, se joaca cu preturile de la o ora la alta. Daca nu stai si verifici preturile zilnic (de doua ori pe zi, chiar), ti-o iei.
      Mai nou, astept cateva luni pana cumpar un produs, daca nu imi trebuie urgent.

      De vreo luna jumate, tot pandesc un Note 10+.
      Pe Emag si pe Altex, acelasi pret, 3799 de lei.
      Ieri dimineata, Emag ma anunta ca a inceput Revolutia Preturilor.
      Ma uit in wishlist, telefonul scazuse la 3499 lei. Ma uit pe Altex, 2999 lei.
      Comand de la Altex, cu livrare in 2 zile.
      Seara, dau sa sterg telefonul din wishlist de la Emag. Apare cu 2999 de lei, posibilitate de ridicare pe loc. Il comand, ma duc si il ridic, ca am showroom langa casa.

      Azi dimineata, telefonul costa 4992 lei.

      La fel am patit si cu un multicooker. De vreo 6 luni era la vanzare cu 699 de lei, desi comentariile specificau ca s-a cumparat cu vreo 400 de lei.
      Acum 3 saptamani, in sfarsit il vad la 350 de lei.

      Blender pe care il vroiam de prin primavara trecuta. Stiind ca pretul lui era vreo 800 de lei, nu scadea pe nicaieri, sub 1200 de lei. Tocmai de ziua mea s-a nimerit sa il gasesc la PC Garage cu 680 de lei. Pe Emag e inca 1500 de lei, dupa 1 an de zile. Am tot urmarit pretul ca l-am avut in wishlist. Nu a scazut sub 1100 de lei.

      00
    • Eu am verificat un monitor pe site-ul ala de istoric preturi pricy parca ii zice, noroc ca mi-am amintit ca exista asa ceva – monitorul costa 1700, acum e redus la 1469 sau ceva de genu, dar de blackfriday dar si in februarie a costat chiar 1160.

      00
    • @Jupaneasa – ai anulat comanda la Altex ? Si eu am vrut sa comand insa pana am stat sa analizez daca pretul este bun… s-au si vandut

      00
    • Da, am anulat-o din clipa in care am ridicat telefonul de la Emag.

      Legat de pret da, este foarte bun. La 3000 de lei sau mai jos il gasisem doar pe OLX.
      Vezi ca pe Emag inca il au la 3500 de lei, dar pe alta culoare, daca selectezi „Aura Glow”, apare cu pretul vechi. Doar pe culoarea neagra l-au marit la 5000 de lei.
      Daca si asa e prea scump si nu iti trebuie urgent, tine-l in wishlist si verifica preturile ocazional, ca poate mai baga. Tine ambele culori in wishlist, ca vad ca modifica preturile dupa cum au chef, dupa culoare si dupa cum bate vantul.

      00
  8. Îți recomand un site de scule: zivtool.ro
    Ignora că e tradus prost în romana dar nu au probleme cu stocurile, au preturi bune doar că durează o zi/doua până procesează comanda.

    00
    • Dude,site-ul ala e mai scump decat tot ce gasesc eu in SV la orice magazin de profil, pai in Leroy ciocanul demolitor vandut de ei pe prima pagine e cu 350 de lei mai ieftin, ce vb ?

      00
  9. discutie in mathaus vitan alalteri:
    Client cu Baterie Grohe de 600+ lei abia cumparata si defecta la instalare (nu stiu de ce):
    i s-a spus ca nu se poate schimba bateria pe loc pana nu este constatat defectul de service-ul specializat si ca dureaza cateva zile. Omul a vrut baterie in loc , ca avea nevoie sa se spele. I s a zis sa cumpere o baterie ieftina pana una alta.

    00
    • Si daca defectul era determinat de proasta manipulare/instalare a clientului ce facea magazinul dupa ce venea constatarea de la garantie?
      Se ruga de el sa vina si sa o plateasca? Mi se pare normal raspunsul magazinului.

      00
  10. Ca unul care are un magazin online de nișă nu merită să suni pe ăia care nu primesc comanda din diverse motiv. Am confirmat comanda când ai trimis-o, ți-am zis când o primești, ai refuzat-o că a a aflat nevasta, că ai rămas fără bani sau regreți comanda, asta e, am pierdut banii de transport. Sunam într-o perioadă, dacă nu mă înjurau sau dădeau ocupat, îmi dădeau motive tâmpite gen „am plecat din tara” sau o dădeau „hai sa o amânăm pe săptămâna viitoare”. Nici una refuzata, reconfirmata și retrimisa nu a fost acceptata ulterior.

    00
    • Da confirm, daca suni sa afli motivul iti zice ca isi doreste produsul. Mai trimiti odata si il refuza si a doua oara! Ceva de genul te-a mancat in cur sa ma deranjezi cu rahaturi de astea, na si a doua teapa, nu e treaba ta de ce nu onorez eu comanda!

      00
  11. Imi recomanda careva un motoburghiu (motoforeza) nici prea scumpa, nici prea ieftina, am de facut vreo 40 gauri pentru stalpi.

    00

Adaugă un comentariu

Câmpurile marcate cu * sunt obligatorii! Adresa de email nu va fi publicată.

1. Linkurile utile în context sunt binevenite.
2. Comentariile asumate fac bine la blăniță.
3. Șterg comentariile care îmi strică buna dispoziție.
4. Nu fiți proști, agramați sau agresivi la primele 50 comentarii aici.

Susținere

Susține acest blog cumpărând de la eMAG, de la Finestore, de la PORC sau de la Aceeași Mărie.

Pun clipuri pe Youtube

Alte linkuri (mostly NSFW)