Комментарии 6
Ну по полочкам-то все верно. Но от:

Требуйте использование надежных паролей — цифро-буквенные комбинации различного регистра, использование спецсимволов, ограничение минимальной длины пароля.


ломает нещадно. Хочется верить, что перейдем на одноразовые пароли по смс и все упроститься.
Зачастую вопрос юзабилити (конверсии, отказов) ставится во главу угла и позволяет пользователям использовать любые пароли — это является плохой практикой, необходимо использовать сложные комбинации для защиты пользовательских данных.

А что для интернет-магазина важнее — конверсия или стойкие пароли клиентов? И почему мы до сих пор говорим о паролях, как основном объекте интереса безопасника, хотя уже несколько лет как в качестве альтернативы можно «прозрачно» аутентифицироваться и через VK/Facebook/Google и т.п.?

При обороте интернет-магазина выше определенной планки недополученная выгода при усложнении процедуры регистрации клиента или входа в личный кабинет оказывается больше, чем возможные прямые потери и косвенные затраты (WAF, доработки сайта, и даже зарплата безопасника) при реализации упомянутых мер защиты. Это ж как в супермаркетах — в цену товара закладывается допустимый процент потерь.
И никто не мешает при повторных попытках ввода пароля требовать капчу/сброса пароля через email.
Так что же автор рекомендует по обновлениям: автоматическую установку или тестирование в dev среде?
Если первое, то можно всё положить,
скорее тестирование автоапдейтов на стейджинге. хотя многое зависит от степени кастомизации CMS и уровня покрытия автоматическими тестами. если кастомизация велика и/или покрытие тестами мало — только через дев-стейджинг в лайв
Автор, определитесь, что же вы советуете по обновлениям CMS: устанавливать автоматически или все-таки тестировать в dev среде?
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.