Suhosin sinnvoll bzw. notwendig?

[andreaswien]

Hallo allseits!

Bei who is online wird der Warenkorb wegen der Suhosin Verschlüsselung nicht angezeigt. Das kann ich ja ändern indem ich das zb bei Host Europe abschalte.
Kann mir wer sagen, ob das irgendwelche negativen Folgen hat?
Danke!

Linkback: https://www.modified-shop.org/forum/index.php?topic=27245.0

[Alfred]

Kann mir wer sagen, ob das irgendwelche negativen Folgen hat?

Ja. Dein Umsatz geht zurück.

Gruß

[andreaswien]

Warum? Wie bekommt der Kunde mit ob es aktiv ist oder nicht?

[fishnet]

Kann mir wer sagen, ob das irgendwelche negativen Folgen hat?

Ja. Dein Umsatz geht zurück.

Gruß

Wo ich mich grad mit dem Thema beschäftige: über solche Antworten könnte ich mich nur aufregen. Was soll das ? Man müsste doch ausreichend soziale Intelligenz haben um sich in den Fragesteller hinzuversetzen und zu wissen, worauf er hinaus will.
Oder ist dies eine Art von Humor die ich als trockenes Nordlicht nicht verstehe? 

[WayneTsun]

@fishnet
Möchte Dich beruhigen: Ich als Norditaliener verstehe das auch nicht.

Beste Grüße,
Wayne

[noRiddle (revilonetz)]

Das ist doch ein Klassiker von Alfred, Standard sozusagen.
Leute mit Sprüchen mit angedeuteten Inhalt verunsichern kann er gut, habe ich schon an anderer Stelle moniert.
Mir sagen manche einen etwas harschen Umgang mit gewissen Spezis nach, aber ich denke ich bin da harmlos.

"Every one the his", wie der Engländer sagen würde wenn er kein Englisch kann .

Gruß,
noRiddle

[cYbercOsmOnauT]

Zum Thema: Man kann Suhosin so konfigurieren, dass es einem das tägliche Leben sehr schwer macht. Aber nutzt man nur die grundsätzlichen Funktionalitäten wie die Begrenzung der POST/GET/COOKIE-Daten oder den Schutz gegen Attacken wie ASCII0 Injection, ist es schon nützlich. Meine syslog ist jedenfalls voll mit automatisierten Exploitlinks die Suhosin blockiert hat.

[fishnet]

Schön. Und wie lautet die offizielle Empfehlung des Modified Teams an alle Versandhändler und DAU in Hinblick auf Suhosin?

[Alfred]

Leute mit Sprüchen mit angedeuteten Inhalt verunsichern kann er gut,

Dann ist das aber keine Absicht und kommt falsch an.

Jetzt sag du mir warum man schauen muss was jemand im Warenkorb hat?
Das mag ganz nett sein aber es kostet unnötige Zeit. Diese Zeit fehlt an anderen Stellen.
Deshalb kostet es Umsatz.
Das summiert sich mit den vielen anderen Baustellen die eröffnet werden wenn sich ein neuer Shop im Netz breit macht. Es wird halt immer weniger an der Verbesserung des eigenen Shops gearbeitet.
Und wenn ich 3000 Zeilen Code für eine Produktseite sehe läuft was technisch falsch.
Das dann leider nicht nur bei einem Shop wenn ich beim TE auf die Hardware schaue.

Gruß

[fishnet]

Jetzt sag du mir warum man schauen muss was jemand im Warenkorb hat?
Das mag ganz nett sein aber es kostet unnötige Zeit. Diese Zeit fehlt an anderen Stellen.
Deshalb kostet es Umsatz.

Hättest du das dem TE gleich genau so geschrieben, dann hätte er gleich gewusst das ihr aneinander vorbeiredet und hätte sich einen anderen Ansprechpartner suchen können. Mir jedenfalls war gleich klar, das er eine Antwort für Laien haben wollte, ob der Shop dadurch unsicher wird oder evtl nicht mehr korrekt funktioniert.

[noRiddle (revilonetz)]

Leute mit Sprüchen mit angedeuteten Inhalt verunsichern kann er gut,

Dann ist das aber keine Absicht und kommt falsch an.

Jetzt sag du mir warum man schauen muss was jemand im Warenkorb hat?
Das mag ganz nett sein aber es kostet unnötige Zeit. Diese Zeit fehlt an anderen Stellen.
Deshalb kostet es Umsatz.
Das summiert sich mit den vielen anderen Baustellen die eröffnet werden wenn sich ein neuer Shop im Netz breit macht. Es wird halt immer weniger an der Verbesserung des eigenen Shops gearbeitet.
Und wenn ich 3000 Zeilen Code für eine Produktseite sehe läuft was technisch falsch.
Das dann leider nicht nur bei einem Shop wenn ich beim TE auf die Hardware schaue.

Gruß

Naja, ich brauche das nicht, muß also nichts dazu sagen.

Was deine oft lapidaren für Uneingeweihte unverständlichen Aussagen betrifft, so möchte ich doch noch mal an dich appellieren. Du machst das sehr oft imho,
mir macht das nichts, ich finde es nur für den Community-Gedanken nicht gut.

Gruß,
noRiddle

[web0null]

Das mag ganz nett sein aber es kostet unnötige Zeit. Diese Zeit fehlt an anderen Stellen.
Deshalb kostet es Umsatz.

Ja das sehe ich gaaanz genauso
Es ist ja noch viiiiel weitreichender.
Nicht nur dass es dem Shop-Betreiber Umsatz kostet, es entsteht daraus ein wirtschaftlicher Schaden in Millionenhöhe.

Die summierten Sek, fehlen natürlich erstmal dem Betreiber, aber auch der gesamten Wirtschaft!!

Denn wenn man mal z. B. soo 2 Min. zusammen hat, hätte man auch wo anders selbst etwas kaufen können. Welches dann ja aber ausbleibt, weil man die Zeit nicht hatte wegen dem blöden "who's online".

• ergo, weniger Umsatz der anderen Shops
• ergo, weniger Gewinn der anderen Shops
• ergo, können sich "die" wiederum weniger für "sich" kaufen
• ergo, weniger Umsatz für "die" anderen Shops der anderen Leute
• ergo, können sich "die" "der" anderen wiederum weniger kaufen
• ergo, hat auch der Staat weniger Steuer einnahmen
• ergo, kann weniger in die Infrastruktur usw. gesteckt werden
• ergo, schlechte Straßen usw.
• ergo, mehr Bandscheiben Vorfälle
• ergo, es wird sogar noch teurer für uns, weil wir dadurch, mehr Kassen Beiträge zahlen müssen
• ergo, noch weniger Geld zu Verfügung
• ergo, usw.

ahh, hab noch was vergessen, also:

• ergo, es wird noch weniger gekauft
• ergo, noch mehr Umsatz fehlt
• ergo, usw.

Also eine Bitte an das Team, baut diese "who's online" Sache wieder aus, das können wir doch nicht verantworten.

Nee wartet mal..., die Auto-Hersteller könnten schon ein wenig Profitieren.
Denn durch die schlechten Straßen, werden die Autos früher kaputt, und die Leute müssen sich ein neues kaufen.
Nee wartet nochmal..., die Leute haben ja alle wegen dem "who's online" kein Geld, und können sich somit kein neues Auto kaufen.

Aber jetzt hab ich es..., die Fahrrad Hersteller, für die könnte es dann gut sein.
Nee doch nicht..., das ist ja auch Blödsinn, auf kaputten Straßen mit einem Fahrrad, ist doch auch scheiße.

Also bitte das Ding einfach wieder ausbauen, und wir werden alle reich.
...und wir können dann z. B. viele kaufen, damit die Keks-Industrie wiederum noch reicher werden kann.

Gruß

Nachtrag:
Man könne natürlich auch mit den gesammelten Daten aus dem "who's online", selbst noch etwas dazu verdienen, dann könnte man es drinnen lassen.
Denn dann gleicht sich der Verlust ja wieder aus.

[cYbercOsmOnauT]

Schön. Und wie lautet die offizielle Empfehlung des Modified Teams an alle Versandhändler und DAU in Hinblick auf Suhosin?

Offizielle Empfehlung wird es kaum geben. Aber ich kann Dir gerne meine persönliche Suhosin Konfiguration posten. Ich nutze es im relativ minimalen Modus.

Code: [Auswählen]

; configuration for php suhosin module
extension=suhosin.so

;;;;;;;;;;;;;;;;;;;
; Module Settings ;
;;;;;;;;;;;;;;;;;;;
; the following values are the internal default settings and set implicit
; feel free to modify to your needs
; documentation can be found at:
; http://www.hardened-php.net/suhosin/configuration.html
; or have a look into /usr/share/doc/php5-suhosin/examples/suhosin.ini.gz

[suhosin]
; Logging Configuration
suhosin.log.syslog = S_ALL & ~S_MEMORY & ~S_SQL
;suhosin.log.syslog.facility = 9
;suhosin.log.syslog.priority = 1
;suhosin.log.sapi =
;suhosin.log.script = 0
;suhosin.log.phpscript = 0
;suhosin.log.script.name =
;suhosin.log.phpscript.name =
;suhosin.log.use-x-forwarded-for = off

; Executor Options
;suhosin.executor.max_depth = 0
suhosin.executor.include.max_traversal = 2
;suhosin.executor.include.whitelist =
;suhosin.executor.include.blacklist =
;suhosin.executor.include.allow_writable_files = on
;suhosin.executor.func.whitelist =
;suhosin.executor.func.blacklist =
;suhosin.executor.eval.whitelist =
;suhosin.executor.eval.blacklist =
;suhosin.executor.disable_eval = off
;suhosin.executor.disable_emodifier = off
;suhosin.executor.allow_symlink = off

; Misc Options
suhosin.simulation = off
suhosin.apc_bug_workaround = on
;suhosin.sql.bailout_on_error = on
;suhosin.sql.user_prefix =
;suhosin.sql.user_postfix =
suhosin.multiheader = on
suhosin.mail.protect = 0
;suhosin.memory_limit = 0

; Transparent Encryption Options
suhosin.session.encrypt = 0
suhosin.session.cryptkey = ---irgendeinCryptkey---
;suhosin.session.cryptua = on
suhosin.session.cryptdocroot = on
;suhosin.session.cryptraddr = 0
;suhosin.session.checkraddr = 0
suhosin.cookie.encrypt = off
suhosin.cookie.cryptkey = ---irgendeinCryptkey---
;suhosin.cookie.cryptua = on
suhosin.cookie.cryptdocroot = on
;suhosin.cookie.cryptraddr = 0
;suhosin.cookie.checkraddr = 0
suhosin.cookie.cryptlist =
;suhosin.cookie.plainlist = PHPSESSID,admsid

; Randomness
;suhosin.srand.ignore = on
;suhosin.mt_srand.ignore = on

; Filtering Options
;suhosin.filter.action =
;suhosin.cookie.max_array_depth = 100
;suhosin.cookie.max_array_index_length = 64
;suhosin.cookie.max_name_length = 64
;suhosin.cookie.max_totalname_length = 256
;suhosin.cookie.max_value_length = 10000
;suhosin.cookie.max_vars = 100
;suhosin.cookie.disallow_nul = on
;suhosin.get.max_array_depth = 50
;suhosin.get.max_array_index_length = 64
;suhosin.get.max_name_length = 64
;suhosin.get.max_totalname_length = 256
suhosin.get.max_value_length = 1024
;suhosin.get.max_vars = 100
suhosin.get.disallow_nul = on
;suhosin.post.max_array_depth = 100
suhosin.post.max_array_index_length = 256
;suhosin.post.max_name_length = 64
suhosin.post.max_totalname_length = 8192
suhosin.post.max_value_length = 1000000
suhosin.post.max_vars = 2048
suhosin.post.disallow_nul = on
;suhosin.request.max_array_depth = 100
suhosin.request.max_array_index_length = 256
suhosin.request.max_totalname_length = 8192
;suhosin.request.max_value_length = 1000000
suhosin.request.max_vars = 2048
;suhosin.request.max_varname_length = 64
suhosin.request.disallow_nul = on
suhosin.server.encode = on
suhosin.server.strip = on
;suhosin.upload.max_uploads = 25
suhosin.upload.disallow_elf = on
suhosin.upload.disallow_binary = off
;suhosin.upload.remove_binary = off
;suhosin.upload.verification_script =
;suhosin.session.max_id_length = 128
;suhosin.coredump = off
suhosin.protectkey = 1
suhosin.stealth = 1
;suhosin.perdir = "0"Die Zeilen mit ; sind auskommentiert und verwenden somit den Standardwert. Ich hab sie zur Vollständigkeit drin. Man kann sie auch löschen. Dann sähe es bei mir so aus:

Code: [Auswählen]

; configuration for php suhosin module
extension=suhosin.so

;;;;;;;;;;;;;;;;;;;
; Module Settings ;
;;;;;;;;;;;;;;;;;;;
; the following values are the internal default settings and set implicit
; feel free to modify to your needs
; documentation can be found at:
; http://www.hardened-php.net/suhosin/configuration.html
; or have a look into /usr/share/doc/php5-suhosin/examples/suhosin.ini.gz

[suhosin]
; Logging Configuration
suhosin.log.syslog = S_ALL & ~S_MEMORY & ~S_SQL

; Executor Options
suhosin.executor.include.max_traversal = 2

; Misc Options
suhosin.simulation = off
suhosin.apc_bug_workaround = on

suhosin.multiheader = on
suhosin.mail.protect = 0

; Transparent Encryption Options
suhosin.session.encrypt = 0
suhosin.session.cryptkey = ---irgendeinCryptkey---

suhosin.session.cryptdocroot = on

suhosin.cookie.encrypt = off
suhosin.cookie.cryptkey = ---irgendeinCryptkey---

suhosin.cookie.cryptdocroot = on

suhosin.cookie.cryptlist =

suhosin.get.disallow_nul = on

suhosin.post.max_array_index_length = 256

suhosin.post.max_totalname_length = 8192
suhosin.post.max_value_length = 1000000
suhosin.post.max_vars = 2048
suhosin.post.disallow_nul = on

suhosin.request.max_array_index_length = 256
suhosin.request.max_totalname_length = 8192

suhosin.request.max_vars = 2048

suhosin.request.disallow_nul = on
suhosin.server.encode = on
suhosin.server.strip = on

suhosin.upload.disallow_elf = on
suhosin.upload.disallow_binary = off

suhosin.protectkey = 1
suhosin.stealth = 1Was die einzelnen Optionen bedeuten, schaut ihr am Besten auf http://www.hardened-php.net/suhosin/configuration.html nach. Hab ich auch damals getan.

Achtung: Ob diese Konfiguration bei Euch auch nützlich und korrekt ist, kann ich kaum abschätzen. Es ist meine eigene Konfiguration und soll maximal als Beispiel dienen!

[p3e]

Wenn die Straßen kaputt sind, sind vielleicht wiederum mehr online ?

Im Ernst: Die who is online ist gut für den Telefonsupport. Egal wie gut man alles beschreibt, es gibt immer Kunden, die beim Shoppen anrufen und noch was wissen wollen oder Sonderwünsche haben. Da kann ein Blick auf die who is online nützlich sein (sorry, wenn ich damit Schlaglöcher vor euer Haustür produzierte).

[Ben Tanabe]

Hallo web0null

Um 20:16 Uhr schon so besoffen ?  ;)

Gruss
Claus