Neulich habe ich meine Gedanken zum Thema Sicherheit auf Merchant-Seite geäußert. Als ich mich gestern bei Affiliwelt.net einloggen wollte, wurde mir mitgeteilt, dass sämtliche Kennwörter durch neue, einmalig zu benutzende Kennwörter ersetzt wurden und die alten somit ungültig sind. Die Einmal-Passwörter wurden den Usern per Mail zugestellt und mussten selbstverständlich sofort durch ein neues Passwort ersetzt werden.
Gerade habe ich eine Infomail des ansich stets sehr vorbildlichen Kreditvermittlers Bon-Kredit erhalten. Zu meinem Entsetzen musste ich jedoch feststellen, dass ganz am Ende der Mail meine Zugangsdaten angehängt waren - als Plaintext! Sowohl meine PartnerID als auch mein Passwort sind so für jedermann einsehbar, der ein wenig mehr vom Internet und seiner Technik versteht als der Otto-Normal-Surfer.
Ich habe mich schon oft gefragt, warum einige Programmbetreiber nicht so richtig auf den Schutz der Kundendaten achten. Meistens fängt es schon während der Anmeldung an:
Wenn der Partner die Möglichkeit hat, sein Passwort bei der Anmeldung selber auszuwählen, sollte ein verschlüsstelter Tranfser (SSL/TLS) der Daten gewährleistet sein. Nicht nur im Hinblick auf das Passwort, sondern auch auf die Bankverbindung wäre das sehr beruhigend! Es besteht dann auch NICHT die Notwendigkeit, dass Passwort noch einmal unverschlüsselt per Mail zugesandt zu bekommen!
Wird ein Random-Passwort generiert und per Mail übermittelt, sollte der Partner im Partnerbereich als erstes ein neues Passwort eingeben müssen! Besser wäre es natürlich, das Passwort garnicht erst zu mailen, sondern es ihm nach der Anmeldung anzuzeigen und aufdringlich darauf aufmerksam zu machen, dieses Passwort zu notieren!
Zur Passwort-Recovery: auch hier wird oftmals das vergessene Passwort im Plaintext per Mail zugesandt. Hier sollten alle Alarmglocken sofort anspringen, denn das heißt, dass das Passwort offensichtlich unverschlüsselt in der Datenbank gespeichert wurde oder es einen Algorythmus zum Entschlüsseln gibt - beides fatale Faux-Pas! (wir erinnern uns sicher alle an den Fall Layer-Ads…).
Passwörter müssen immer und ohne Ausnahmen one-way-verschlüsselt werden!
Eine ordentliche Recovery sollte einen Link an die angegebene Emailadresse des Partners schicken , welcher die Neuwahl eines Passwortes über eine per SSL/TLS gesicherte Recovery-Seite erlaubt. Dieses Verfahren wird zum Beispiel von Xing.com angewandt.
Des Weiteren muss grundsätzlich eine Verschlüsselung zum Einsatz kommen, sobald Kundendaten übermittelt werden. Selbstverständlich auch schon bei der Anmeldung!
Dieser Tage wurde ein Partnerprogramm (Name und Link auf Bitte des Betreibers entfehrnt) in meinem Index angemeldet. Also habe ich mir das Angebot angeschaut und durch Zufall festgestellt, dass sämtliche Links (seien sie noch so statisch) durch JavaScript dargestellt werden. Wenn ich meinen globalen Statistiken Glauben schenken darf, haben aber gut 35%-40% aller User JavaScript deaktiviert und werden die Seite schneller wieder verlassen als der Betreiber schauen kann.
Benutzerfreundlich programmierte Websites zeichnen sich hierbei dadurch aus, dass sie auch bei abgeschaltetem JavaScript (möglichst uneingeschränkt) navigierbar bleiben.
Diese für mich nicht nachzuvollziehbare ‘JS-Linkmaskierung’ ist in meinen Augen recht abenteuerlich! Da geht bares Geld flöten - auch für potentielle Affiliates…
Nachdem mein Account bei Commission Junction mal wieder gesperrt wurde (Infos dazu u.a. auch bei Ayom, BloggingTom), habe ich eben versucht mir einen neuen Accoutn anzulegen. Als ich mich durch das wuchtige Formular duchgearbeitet hatte, kam ich zur Captcha-Abfrage:
Die Profis unter uns erkennen sofort, dass diese Captcha-Abfrage so weit kommt wie ein Auto ohne Reifen. Hier fehlt das Wesentliche: die zufällig generierte Zeichenfolge. Und als ich das festgestellt hatte, kamen direkt unangenehme Erinnerungen an meine erste Anmeldung bei CJ zurück: es war der gleiche Krampf - kein Captcha-Bild. Nachdem ich damals schon erfolglos alles mögliche probiert habe (anderer Browser, Sicherheitseinstellungen runtergeschraubt, andere Rechner, andere Rechner und andere Browser, andere Stadt, anderes Land, andere Freundin, andere Frisur usw.), und auch der CJ-Support mir nicht weiterhelfen konnte, habe ich aufgegeben und mich mehrere Wochen (oder Monate) nicht mehr getraut, bei CJ anzumelden.
Irgendwann hat es aber doch noch geklappt, ich habe das Bildchen gesehen (warum nun plötzlich war mir schleiherhaft) und ich konnte mich anmelden. Die Freude war groß - zunächst zumindest. Ich denke, man sollte sofort intuitiv erkennen können, was man wie machen muss um schnell schicke Kampagnen starten zu können. (an dieser Stelle ein freundliches ‘Hallo’ an TradeDoubler… 
)
Nunja, was mich nachhaltig nervt sind wort- und/oder grundlos gesperrte bzw. gelöschte Accounts - seien es meine eigenen (bisher nur bei CJ), oder die meiner Refs (Hallo Bon-Kredit..)!! Aus eigener Erfahrung weiß ich, dass es schonmal eine Zeit dauern kann, bis man bei einem Programm oder Netzwerk aktiv wird. Und wenn es dann an einem Bildchen scheitert, sich erneut anmelden zu können, habe ich erstmal wieder genug…
Eigentlich habe ich die Kategorie ‘Zuckerbrot und Peitsche’ ins Leben gerufen, um über mehrere Partnerprogramme und Netzwerke zu meckern, bzw. diese zu loben. Leider habe ich im Moment recht wenig Zeit, mich generell um meinen Blog zu kümmern (ändert sich bald… versprochen!), möchte an dieser Stelle aber nochmals das Touristikpartnerprogramm Tournet24.de hervorheben und den Mitarbeitern ein Zuckerbrot servieren. Ich habe gestern (Pfingstmontag - das nennt sich Arbeitsmoral ) vom Affiliate Partner Management von Tournet24.de folgende Email erhalten:
Auf Grund des Artikels ‘Zuckerbrot für Tournet24.de‘ (Super – Danke für das Lob) hat sich ein neuer Partner angemeldet.
Da wir alle neuen Partner die sich direkt – ohne Werber ID – anmelden anschreiben, wie Sie uns gefunden haben, konnten wir Ihnen diesen Partner direkt unterschlüsseln.
Sie finden diesen Partner in Ihrem Admin Bereich.Rückinfo vom Partner:
Nein es war kein Reisebüro sondern folgende Seite:
http://www.affiliatebusiness.de/
Ich hatte Ursprünglich etwas Anderem gesucht, mich aber dann auf tournet24.de umgeschaut (aber nicht registriert). Ich lösche immer meine Cookies und habe deshalb tournet24 direkt eingegeben.
Diese Art des, ich nenne es mal ‘redaktionellen Trackings’, ist nicht neu. Oft wird man auch direkt via Dropdown im Anmeldeformular gefragt, wie man denn nun genau auf das angesteuerte Angebot aufmerksam geworden ist. Das aber das Affiliatemanagement eines Partnerprogrammes explizit nachfragt und, wie hier, gegebenenfalls die Informationsquelle recherchiert und darüber hinaus noch den Author, also mich, belohnt, indem mir der neue User manuell in die Downline eingepflegt wird, ist wohl eher (leider) die Ausnahme.
Also an dieser Stelle noch einmal ein ausdrückliches Lob an das Reisepartnerprogramm Tournet24.de!! Und nein, ich werde nicht für diese Blogposts bezahlt
Gerade habe ich eine Email des Reisepartnerprogrammes Tournet24.de-Supportes erhalten. In dieser Email wird mir mitgeteilt, dass einer meiner vor längerer Zeit geworbenen Webmaster seine Daten nicht vervollständigt hat und seit seiner Anmeldung nicht aktiv geworden ist:
Leider hat dieser Partner xxxxxx nie seine Daten ergänzt und somit auch nie die angebotenen Werbemittel auf seiner Homepage eingebaut.
Das ist eine recht nette, aber nicht wirklich hilfreiche Information. Tournet24.de fragt mich aber weiter, wie mit diesem Partner verfahren werden soll:
Was soll mit diesem Partner geschehen? Möchten Sie diesen angehen und nachhhaken, woran es hapert?
Oder kann er zur Löschung frei gegeben werden?
Können Sie uns bitte mitteilen, wie wir weiter verfahren sollen?
Für weitere Fragen stehen wir Ihnen gerne zur Verfügung.
Ein großes Lob an Tournet24.de für dieses Verfahren. So fühle ich mich als Partner nicht nur wahrgenommen, sondern auch ernstgenommen und bekomme die Chance, bei eventuell nicht unrelevanten Entscheidungen die meinen Account betreffen mitreden zu können. Bei anderen Programmen wurde meine Downline schon öfters gekürzt. Wenn überhaupt ein Grund dafür mitgeteilt wurde, dann hieß es immer, die Partner seien nicht aktiv. Das ist für mich aber erstmal kein Grund zur Löschung, denn vielleicht kann man diese ‘Karteileichen’ ja aktivieren, indem man sie gezielt anspricht?!? Für mich hat das (kommentarlose) Löschen meiner Partner immer einen negativen Beigeschmack. Und da geht Tournet24.de mit gutem Beispiel voran und zeigt, wie man es auch machen kann. Danke Tournet24.de und Daumen hoch! 
Sie befinden sich gerade im Archiv 'Zuckerbrot und Peitsche'.
Postview-Tracking ist KEIN Performance-Marketing!
