Forum: Offtopic Reichelt.de und Sicherheit?

Das ist "normal".

Habs gerade ausprobiert: Hab reichelt.de aufgerufen (bin eingeloggt) und 
habe mir einen Artikel angesehen. Die URL in der Adresseleiste hab ich 
dann kopiert:
http://www.reichelt.de/Power-Induktivitaeten-SMD/L-PISR-47-/index.html?;ACTION=3;LA=5;GROUP=B517;GROUPID=3709;ARTICLE=73068;START=0;SORT=user;OFFSET=500;SID=XXXXXXXXXXXXXXXXXXXXXXXXX

Dann hab ichs auf nem anderen Rechner aufgerufen und schon war ich als 
MEIN(!!!!) User eingeloggt.

Warum? Wie in der URL zu sehen ist, gibts den Parameter SID, den ich 
hier unkenntlich gemacht habe mit XXXXX...
Diese SID ist so eine Art Besucherkennung im Reicheltshop. Es gibt auch 
nen Cookie mit diesem Inhalt, KEINE AHNUNG warum man den dann auch noch 
in die URL packt, ist eigentlich nicht gerade sinnvoll.
Sobald man also eingeloggt ist und einen Link mit SID=... hier 
reinstellt kann sich jeder als man selbst einloggen.
EINE BEDINGUNG GITS DAFÜR ABER WIE ICH GERADE FESTGESTELLT HABE: Auf dem 
eigenen Rechner darf noch kein Reichelt-Cookie vorhanden sein.
Wenns schon ein Reichelt-Cookie gibt, dann klappt das nicht. Ansonsten 
funktionierts.
Habs auch von verschiedenen IP-Adresse von zuhause und von der Uni aus 
gerade ausprobiert. Die SID ist also nicht IP-gebunden.

Warum der Fehler bei dir aufgetreten ist:
- Du hast einen "frischen" Browser benutzt oder alle Cookies gelöscht
- Dann hast du auf einen Reichelt-Link mit SID geklickt und der andere 
User war noch nicht ausgeloggt.

Mal wieder zeigt sich, dass der Großteil der Webfrickler keine Ahnung 
hat was er tut. Das ist wirklich eine große Sicherheitslücke! 
Insbesondere da die der Support nicht kennt.
Falls ers dir jetzt immer noch nicht glaubt, schreib ihm diesen Thread 
hier, er darf mich auch GERNE um Hilfe bitten ;-)

Johannes O. schrieb:
> Diese SID ist so eine Art Besucherkennung im Reicheltshop.

Fast. Ich tippe auf die Abkürzung von "SessionID". Diese ID wird für die 
Länge einer Sitzung gültig sein. Viele Online-Shops verwenden so eine 
SID, damit aus dem eigentlich zustandslosen HTML-Protokoll eine 
zustandsorientierte Sitzung wird. Es ist aber ein Unding, diese SID in 
den URLs selbst mitzuschleppen. Besser programmierte Shops machen das 
mit der POST-Methode statt über die URL. Wenn man sich nicht explizit 
abmeldet, ist es von der Shop-Konfiguration abhängig, wie lange diese 
SID ihre Gültigkeit behält.

Scheinbar hat ein Jens H. aus Berlin das angeklickt, kann das sein? 
Musste nichtmal Cookies löschen, ausloggen reicht!

Frank M. schrieb:
> Diese ID wird für die
> Länge einer Sitzung gültig sein.

nein... zumindest für den Cookie gilt:
> Gültig bis  Thu, 01 Jun 2023 02:23:30 GMT

Klar, SID wird vermutlich für Sessionid stehen, aber mit folgendem bin 
ich nicht einverstanden:

Frank M. schrieb:
> Besser programmierte Shops machen das
> mit der POST-Methode statt über die URL.

Ne SID lässt sich per POST nicht "sichern". Der einzige Weg ist entweder 
die URL (PFUI!) oder über einen Cookie (macht reichelt zusätzlich noch).

Johannes O. schrieb:
> Ne SID lässt sich per POST nicht "sichern".
"Sichern" natürlich nicht.

Aber was ich damit meinte: Man läuft nicht Gefahr, per Copy&Send der URL 
an eine zweite Person auch seine Session an diese Person mit 
auszuliefern.

BTW, was ich damals sehr seltsam fand:

Ich war als Benutzer A bei myreichelt angemeldet, hatte ihm dann eine 
Mail geschrieben... Er war damals mit meinem Account dann angemeldet...

Klar: Ihr habt die gleiche SID, das System kann euch nicht mehr 
auseinanderhalten. D.h. wenn du dich einloggst, sieht er auch deinen 
Account!

Naja, ich war zu der Zeit mit seinen Daten eingeloggt...

Frank M. schrieb:
> Aber was ich damit meinte: Man läuft nicht Gefahr, per Copy&Send der URL
> an eine zweite Person auch seine Session an diese Person mit
> auszuliefern.
Deshalb ist es auch normalerweise so, dass man die SID an die IP bindet.

Johannes O. schrieb:
> Klar: Ihr habt die gleiche SID, das System kann euch nicht mehr
> auseinanderhalten.
Eine SessionID ist einmalig und sollte bei jedem neuem Login neu 
generiert werden um SessionStealing zu verhindern.

Läubi .. schrieb:
> Deshalb ist es auch normalerweise so, dass man die SID an die IP bindet.

Dann bist du aber gear...t, wenn dein Provider sich entscheidet, dir
gerade jetzt mal schnell 'ne neue IP-Adresse zu verpassen (wie es ja
zumindest bei einem nicht ganz kleinen Provider in diesem Lande
gelegentlich üblich ist).  Damit ist dann dein mühevoll zusammen-
gestellter Warenkorb "w" wie "wech".

Jörg Wunsch schrieb:
> Dann bist du aber gear...t, wenn dein Provider sich entscheidet

Naja erstmal kann man das beliebig schlau machen (IP bereiche, 
Browserkennung mitverwalten) und außerdem ist das eh nur ein Fallback 
wenn nichtmal Sitzungscookies erlaubt sind, dass dann solche 
Komfortfunktionen ggf. eingeschränkt sind sollte jedem Cookieverweigerer 
klar sein :)

Läubi .. schrieb:
> Deshalb ist es auch normalerweise so, dass man die SID an die IP bindet.

Klappt nur, wenn die Leute nicht hinter demselben Router sitzen ;-)

Wenn die Programmierer vom großen R mal die SIDs richtig verwenden 
würden, müssten die auch nicht via POST angehängt werden und die 
Sicherheitslücke wäre geschlossen. Ich habe auch schon privat damit 
gearbeitet und die Variable sollte direkt vom Browser abgerufen werden, 
da auch dieser die Sitzung verwaltet. Sonst macht die SID keinen Sinn!

Die sind aber nicht die einzigen, bei diversen Communities hab ich das 
Problem auch schon beobachtet!

Gruß

Dann erzähl uns Dummen doch mal wie "der Browser die Variable abruft", 
dass das ganze nix mit POST zu tun hat (und dort auch nur verschiebt) 
haben wir ja oben schon geklärt...
Und die Sitzung wird vom Webserver verwaltet, den nur für den ist die 
Interessant (was Teil der Problematik ist).

äh joa Server, nicht Browser :)

mit dem php Befehl session_id() kann man (nachdem natürlich davor eine 
Session erstellt wurde) die Session ID abrufen.

Solange die Session gültig ist (die Dauer wird in der PHP.ini festgelegt 
glaub ich), kann die Seite beim Surfen nun den speziellen Inhalt für den 
aktuellen Benutzer angezeigt werden. Z.B. nach Login der in der 
Datenbank gespeicherte Warenkorb, etc.

Das Abgleichen sollte als nicht über die Adressezeile laufen sondern 
intern.

Wenn man Sessions einige Zeit speichern möchte, sollte man die gesamten 
Variablen inkl. Inhalt in einem Cookie oder in der Benutzerdatenbank 
speichern.

So nun aber erst mal genug. Mittagspause vorbei :P
Bis ggf. heut Abend.


Gruß

Michael

Läubi .. schrieb:
> das ganze nix mit POST zu tun hat

Aso: Naja wenn die SID nicht via POST von Reichelt immer weitergegeben 
würde, wäre es auch nicht möglich die Session versehentlich zu verteilen 
;)

Hat ja #1 schon bewiesen indem er die SID in seinem Link ge-X-t hat.

Bis Dann!

Kann es sein, daß ihr euch nicht ausloggt, wenn ihr eine Session 
beendet?

Mit dem Logout sollte die SessionID ungültig werden und wenn der Server 
nicht allergröbste Fehler hat, dann sollte er die Wiederverwendung einer 
ungültigen SessionID erkennen und abweisen.

Wenn man R-Links z.B. hier postet und selbst bei R noch eingeloggt ist, 
kann es passieren, daß man sich in der Session des Posters wiederfindet 
- das ist dann aber definitiv ein schwerer Fehler in der 
Server-Software.

Läubi .. schrieb:
> Deshalb ist es auch normalerweise so, dass man die SID an die IP bindet.
Mit IPv6 wird das dann sehr spaßig werden.

Ich mach es zumindest so, dass ich die SID zusätzlich zum Benutzer in 
einer Datenbank speichere. Spalte als Unique setzen, dann kann es auch 
keine 2 gleichen SID geben.

Die SID speichert man üblicherweise im Cookie.

Johannes O. schrieb:
> nein... zumindest für den Cookie gilt:
>> Gültig bis  Thu, 01 Jun 2023 02:23:30 GMT

Das sind dann halt so Sachen. Wieso muss man ein Cookie über 10 Jahre 
gültig sein??? Außer Verfolgung der Leute hat das doch keinen Sinn. 
Dafür kann man 10 Jahre lang mit dem frendem Konto unterwegs sein, wenn 
er irgendwann mal einen Link geschrieben hat. (Wie findet ihr XYZ bei 
Reichelt [Link]).

K. Laus schrieb:
> Das sind dann halt so Sachen. Wieso muss man ein Cookie über 10 Jahre
> gültig sein???

Die Lebensdauer von Cookies sollte doch generell mit Ende der 
Browser-Session enden - man muß es nur einstellen. Wer sich dauerhaft 
einloggt und Cookies ewig aufhebt, muß damit rechnen, daß ihm solche 
Sachen passieren...

Habe mal Reichelt auf diesen Thread aufmerksam gemacht.

Jörg Wunsch schrieb:
> Läubi .. schrieb:
>> Deshalb ist es auch normalerweise so, dass man die SID an die IP bindet.
>
> Dann bist du aber gear...t, wenn dein Provider sich entscheidet, dir
> gerade jetzt mal schnell 'ne neue IP-Adresse zu verpassen (wie es ja
> zumindest bei einem nicht ganz kleinen Provider in diesem Lande
> gelegentlich üblich ist).  Damit ist dann dein mühevoll zusammen-
> gestellter Warenkorb "w" wie "wech".

Ist bei mir aber nicht der Fall, bin DSL-Kunde (sprich: alle 24h neue 
IP) und mein Warenkorb bleibt solange aktuell, bis ich ihn bestelle. 
Auch über Tage/Wochen.

Reinhard S. schrieb:
> Ist bei mir aber nicht der Fall, bin DSL-Kunde (sprich: alle 24h neue
> IP) und mein Warenkorb bleibt solange aktuell, bis ich ihn bestelle.
> Auch über Tage/Wochen.

Das liegt an Deinem gespeicherten Reichelt-Cookie. Wenn ich meinen FF in 
den "privaten Modus" umschalte und dann auf die Reichelt-Seite gehe, ist 
mein Warenkorb weg. Schalte ich den "privaten Modus" wieder ab, ist mein 
Warenkorb wieder da.

Michael E. schrieb:
> mit dem php Befehl session_id() kann man (nachdem natürlich davor eine
> Session erstellt wurde) die Session ID abrufen.
Auch da wird dann aber nur alternativ die Session ID in einem Cookie 
gespeichert, wenn dieser ABgewiesen nutzt man halt das einzige Mittel 
welches bleibt, die Session in der URL weiterzugeben.

Michael E. schrieb:
> Das Abgleichen sollte als nicht über die Adressezeile
> laufen sondern intern.
Dieses "intern" läuft aber über den Sitzungscookie. Wenn der abgelehnt 
wird nutzt man eben die URL Variante, aber auch die kann man halt 
entsprechend absichern.

Seit einiger Zeit gibt es doch eh die "Link auf diesen Artikel" 
Funktion, da ist die SID (hoffentlich) nicht enthalten.

K. Laus schrieb:
> Wieso muss man ein Cookie über 10 Jahre
> gültig sein?
Weil bei 10 Tagen die Leute plären das ihr mühevoll über 11 Tage 
zusammengestellter Warenkorb weg ist ;)
Man kann aberer ja trotzdem den Warenkorb 10 Jahrhunderte im Cookie 
speicher, ein Login resp. Sessioncookie muß aber ja nicht die gleiche 
Zeit lang gültig sein.


Uhu Uhuhu schrieb:
> dann sollte er die Wiederverwendung einer
> ungültigen SessionID erkennen und abweisen
Zumindest die Logindaten sollten geleert werden, und wie ich shcon 
schrieb muß die Session halt bei jedem Login neu generiert werden um 
Sessionklau zu verhindern.

Hallo Freunde von Microcontroller.net,

erstmal danke an Kevin K. daß er uns auf diesen Thread aufmerksam 
gemacht hat.

Um die Problematik von unserer Seite noch einmal kurz zu erläutern (ich 
hoffe Ihr könnt verstehen, daß ich nicht zu sehr ins Detail gehen darf) 
hier eine kurze Beschreibung der Situation:

Wir versuchen unseren Online-Shop so weit wie möglich so zu gestalten, 
daß man auch mit den höchsten Sicherheitseinstellungen bei uns bestellen 
zu können.
Das bedeute aber leider, daß wir unsere SessionID nicht ausschließlich 
im Cookie speichern, sondern auch in der URL, damit bei ausgeschaltetem 
Cookie bei uns ein bestellen möglich ist. Ebenso ohne Javascript.
Eine php-Session zu verwenden ist bei uns nicht möglich, da wir keinen 
einzelnen Webserver sondern einen ganzen Park an Servern verwenden.
In den Routinen zur Speicherung der SessionID sind mehrer 
Sicherheitsroutinen eingebaut um unter anderem eben das von Euch 
beschriebene Szenario (Link in einem Forum) zu unterdrücken. Leider 
haben wir es anscheinend nicht vollständig geschafft.

Wir nehmen daher nun in dem myReicheltbereich und im Bestellvorgang 
einige Änderungen vor, um die Daten noch mehr zu schützen.

Die Lösung nur Cookies zu verwenden, oder die Session (und damit die 
Warenkörbe) nach ein paar Minuten zu löschen halten wir für nicht 
besonders kundenfreundlich.

Bis dahin möchten wir darum bitten in den Foren den dafür vorgesehenen 
Link zu posten (link auf diesen Artikel / diese Gruppe) und sich bei 
myReichelt auszuloggen, wenn die Seite verlassen wird.

Vielen Dank an alle, die an dieser Diskussion teilnehmen und für die 
guten Vorschläge zum beheben des Problems und vor allem Danke an Läubi 
für die sehr objektive und gut informierte Moderation.

Bei weiteren Fragen stehen wir natürlich gerne zur Verfügung.

Stefan Ehrlich

Läubi .. schrieb:
> Dieses "intern" läuft aber über den Sitzungscookie. Wenn der abgelehnt
> wird nutzt man eben die URL Variante, aber auch die kann man halt
> entsprechend absichern.

Äh jetzt hab ich doch glatt "get" und "post" verwechselt :) Hat zum 
Glück niemand gemerkt!

Hier mal zu den Unterschieden:

http://www.selfphp.biz/praxisbuch/praxisbuchseite.php?site=183&group=32

Aber da laut Stefan Ehrlich gar keine PHP Session verwendet werden kann 
ist der Hinweis sowieso hinfällig :)

Läubi .. schrieb:
> Seit einiger Zeit gibt es doch eh die "Link auf diesen Artikel"
> Funktion, da ist die SID (hoffentlich) nicht enthalten.

Das hoffe ich auch! :)

Stefan Ehrlich schrieb:
> Die Lösung nur Cookies zu verwenden, oder die Session (und damit die
> Warenkörbe) nach ein paar Minuten zu löschen halten wir für nicht
> besonders kundenfreundlich.

Naja nach ein "paar" Minuten nicht unbedingt. Aber nach ein paar Tagen 
würde es mich nicht mehr stören als in den Warenkörben anderer 
Onlineshops. Immerhin gibt es ja myReichelt nicht umsonst und da kann 
dann der Warenkorb auch in der Datenbank gesichert werden (für 
"unbegrenzte" Zeit).



Im Übrigen finde ich es sehr Professionell, dass die Reichelt-Webseite 
auch funktionieren soll, wenn Cookies und JavaScript ausgeschaltet sind. 
Das ist heutzutage nicht mehr selbstverständlich.

An sich ist die Diskussion hier auch recht nahe am Boden geblieben, was 
für das Forum hier nicht immer selbstverständlich ist!

Viele Grüße, ich deaktivere mal die E-Mail Benachrichtigung ;)

Michael

Hm, sollte die SID beim Abmelden nun eigentlich ungültig werden? Heute 
Mittag war ich ja als ein Jens H. angemeldet... Habe dann auf Ausloggen 
geklickt - eben gerade war ich wieder mit den gleichen Daten drin, 
zwischendurch nicht...

Stefan Ehrlich schrieb:
> Eine php-Session zu verwenden ist bei uns nicht möglich, da wir keinen
> einzelnen Webserver sondern einen ganzen Park an Servern verwenden.

Wieso denn das nicht? Wieso kann man die SessionID nicht in derselben 
Datenbank zwischenlagern, in der doch auch die Warenkörbe so gespeichert 
werden, daß alle Server darauf zugreifen können?

Dann kann man sie auch nach dem Logout entwerten und sicherstellen, daß 
aus Versehen gepostete Links mit SessionID nicht mehr als billiges 
Hackmittel für Identitätsdiebe tauglich sind.

Stephan Rottmann schrieb:
> Hm, sollte die SID beim Abmelden nun eigentlich ungültig werden? Heute
> Mittag war ich ja als ein Jens H. angemeldet...

Junge, Junge, da ist der Oberwurm drin. Vermutlich kann man mit solchen 
ewig gültigen SessionIDs auch noch den ganzen Account kapern.

Ich habe auch die Reichelt Seite aufgerufen und wurde daraufhin als 
jemand anderer angemeldet. habe mich daraufhin abgemeldet und später war 
ich wieder als derjenige angemeldet.
Ich habe mich mit dieser Person daraufhin in Kontakt gesetzt und diese 
Person war dann in meinem Account eingeloggt!!!!!!!
hat irgendjemand eine Logische erklärung dafür, was da passiert ist???
Ich besuche Reichelt.de auf meinen beiden Rechnern auf einem hatte ich 
noch nie solche Probleme, auf dem anderen jetzt andauernd

PS: kann man ein Reicheltkonto kurzzeitig deaktivieren, bis das Problem 
gelöst ist?

Miche L. schrieb:
> Ich habe mich mit dieser Person daraufhin in Kontakt gesetzt und diese
> Person war dann in meinem Account eingeloggt!!!!!!!

Ja, das kommt mir so bekannt vor... Ich habe mit einer Person, als die 
ich angemeldet war Kontakt aufgenommen, da haben wir festgestellt, dass 
wir beide als eine andere dritte Person angemeldet waren...

Guten Morgen,


jetzt hatten offensichtlich schon zwei Personen Zugriff auf mein 
Reichelt Benutzerkonto.

Ich habe nicht ganz verstanden, wie jemand anders an meine SID kommt, 
wenn ich selbst keine Links oder Warenkörbe veröffentlicht habe.

Ich habe in der letzten Zeit nur einen Warenkorb geöffnet. Dieser 
enthielt jedenfalls auch keine SID.


Offensichtlich hat der Webmaster, der mir von Reichelt auf meine E-Mails 
antwortet keine Ahnung wo das Problem liegt. Ich erhalte Tips wie diesen 
hier:

...Außerdem liegt nun die Vermutung nahe, dass Sie ein 
Lesezeichen/Bookmark verwenden, welches eine SID beinhaltet. Überprüfen 
Sie das bitte. Das Lesezeichen sollte unbedingt ausschließlich unsere 
Webadresse "http://www.reichelt.de"; enthalten.

Danach kann sich niemand ohne Ihre Zugangsdaten auf Ihren Account 
einloggen und Sie können auch nicht als jemand anderer eingelogged 
sein...


Ich bin ziemlich sauer auf Reichelt.


Hier läuft etwas richtig falsch.

Dieses "Vertauschen" von zwei Identitäten (Miche L.) und das 
"Dreiecksverhältnis" mit anderen Personen (Jens H) hat wohl überhaupt 
nichts mit SIDs zu tun, die vielleicht durch Austausch einer URL mit 
einer SID hätte zustandekommen können.

Hier liegt wahrscheinlich ein ganz anderes Problem bei Reichelt vor (was 
auch den TO wahrscheinlich betrifft, er sprach ja auch nicht von einem 
fremden Link mit einer SID), nämlich dass bei Reichelt die 
Kunden-Datenbank wohl reichlich durcheinander ist.

Die SID-Problematik ist eine Sache, die hier geschilderten Phänomene 
sind was ganz anderes....

Frank M. schrieb:
> Hier liegt wahrscheinlich ein ganz anderes Problem bei Reichelt vor (was
> auch den TO wahrscheinlich betrifft, er sprach ja auch nicht von einem
> fremden Link mit einer SID), nämlich dass bei Reichelt die
> Kunden-Datenbank wohl reichlich durcheinander ist.

Ich kann nicht ausschließen, dass auch ich einen Link mit SID hier im 
Forum angeklickt habe. Meine erste Vermutung war auch, dass zB Jens 
eingeloggt war, einen Link angeklickt hat und damit die SID aus dem Link 
"geerbt" hat. Dann könnten ja im Anschluss mehrere andere (auch ich) 
darauf geklickt haben...
Vielleicht sind dann beide mit der gleichen SID unterwegs. Wenn ich mich 
einlogge, könnte der andere dann eventuell meine Session erben oder 
so...

Aber ich kenne mich mit dem ganzen Kram auch zu wenig aus um das 
wirklich zu verstehen ;)

Stephan Rottmann schrieb:

> Ich kann nicht ausschließen, dass auch ich einen Link mit SID hier im
> Forum angeklickt habe.

Das sollte dann aber nicht dazu führen, dass diese (fremde) SID zu 
Deiner eigenen wird.

> Meine erste Vermutung war auch, dass zB Jens
> eingeloggt war, einen Link angeklickt hat und damit die SID aus dem Link
> "geerbt" hat. Dann könnten ja im Anschluss mehrere andere (auch ich)
> darauf geklickt haben...

Vielleicht eher umgekehrt: erst URL mit SID angeklickt und dann 
eingeloggt... und damit die fremde SID zur eigenen gemacht. Das würde 
das Verhalten erklären.... und auch den Umstand, dass mehrere Leute nun 
mit derselben SID umherwandern.

Wenn das tatsächlich so ist, wäre das ein dicker Bug im Reichelt-Shop. 
Beim Login müsste eigentlich eine neue SID generiert werden. Wird der 
Shop aber wohl nicht machen, weil man dann ja auch mit dem Login seinen 
Warenkorb kicken würde....

Ich werde das mal testen... interessante Sache.

Ich habe gerade folgendes probiert:

1. www.reichelt.de aufgerufen -> SID gemerkt
2. Cookies + Cache löschen
3. www.reichelt.de aufgerufen -> ich hatte eine neue SID
4. Seite wieder geschlossen und aus dem Verlauf einen Link mit einer 
alten SID aufgerufen
5. ich habe mich angemeldet und dabei die alte SID behalten, erst als 
ich zur Startseite gesprungen bin, hatte ich wieder die SID von Punkt 3 
und!! ich war wieder ausgeloggt

Für mich immer noch ein unerklärliches Verhalten. Leider habe ich noch 
keine Erklärung vom Kundenservice erhalten.

Wie ich schon sagte, trat das Problem bei mir auch nicht in Verbindung 
mit einem Link mit enthaltener SID auf. Ich schließe mich trotzdem der 
Vermutung an, dass es in der Serververwaltung zeitweilig mehrere Nutzer 
mit der gleichen SID gibt. Das wiederholte auftreten der automatischen 
Anmeldung im fremden Kundenkonto ließe sich dann evtl. über Cookies 
erklären.

Ich bin gespannt wie das Problem vom Kundenservice erklärt wird.

Jens H. schrieb:
> Ich bin gespannt wie das Problem vom Kundenservice erklärt wird.

Da die Firma offenbar mit der Spitzentechnologie "Security by Obscurity" 
arbeitet, gar nicht...

das ganze gilt jetzt aber nur wenn man bei "myreichelt" angemeldet ist, 
oder?
oder auch wenn man mal was ohne richtige Registrierung bestellt hat?

So ganz verstehe ich nicht warum Reichelt das nicht gebacken bekommt. 
Voelkner beispielsweise schleppt auch eine SID in der URL mit. Sämtliche 
Bestsellungen mit allen jeweiligen Artikeln sind nach Einloggen mit dem 
Kundenpasswort und der email einsehbar. Beim nächsten Einloggvorgang 
gibt es eine neue SID. Mit der alten SID kann man dann nichts mehr 
anfangen.

Was kann Voelkner, was bei Reichelt nicht gehen soll?! Mir 
unverständlich!

Sepp Hans schrieb:
> das ganze gilt jetzt aber nur wenn man bei "myreichelt" angemeldet ist,
> oder?

Ja, aber angeblich gibt es grad kein Problem mehr, da die betroffenen 
Konten vorübergehend gesperrt wurden...