shopping_cart.php -> Gutschein/Coupon "unverschlüsselte Verbindung"

[servsens]

Hallo Zusammen,
nachdem ich meinen Shop auf "modified eCommerce Shopssoftware v1.06 rev 4642 SP2 dated: 2014-08-12
Datenbank Version: "MOD_1.0.6.0" " aktualisiert habe, ist mir folgende Irritation aufgefallen:

Neue Kunden erhalten vom Shop-System automatisch einen Coupon per Email zugesendet und können diesen sogleich und nur einmalig bei einer Bestellung über einem bestimmten Wert während des Bestell-Prozesses einlösen, dies wird offensichtlich über die shopping_cart.php abgewickelt.

Wenn der Kunde nun den Coupon-Code eingibt, popt unter Firefox folgende Meldung auf:

Obwohl diese Seite verschlüsselt ist, werden die von Ihnen eingegebenen Informationen über eine unverschlüsselte Verbindung gesendet und können leicht von Dritten gelesen werden.  Sollen diese Informationen wirklich gesendet werden?

Beim Coupon-Code handelt es sich ja nicht wirklich um sensible Daten, jedoch wirft das bei Kunden eventuell Fragen auf und führt möglicherweise zu Kaufabbrüchen!

Um das Problem zu isolieren, habe ich folgendes gemacht:

Den Namen der Grafik-Datei für den Coupon-Knopf "einlösen" in Firefox anzeigen (rechte Maustaste auf den Knopf, Grafik anzeigen), der URL-Pfad in Firefox war dann:

templates/mein-template/buttons/german/button_redeem.gif

Auf der Bash vom Shop-Server mit folgendem Befehl die aufrufenden Dateien dieser Grafik suchen:

#grep -i -l -E -r "button_redeem.gif" httpdocs

(Suche im Verzeichnis httpdocs)
Ergebnis:

httpdocs/includes/modules/gift_cart.php

Die includes/modules/gift_cart.php wird von der shopping_cart.php aufgerufen.
Wenn man mal kurz in der shopping_cart.php den Aufruf gift_cart.php löscht, verschwindet die Möglichkeit den Coupon einzulösen komplett.
Die gift_cart.php ist also die "Schuldige". (Das Löschen wieder Rückgängig machen und speichern oder zuvor gesicherte original shopping_cart.php aktivieren nicht vergessen)

Wenn ich die vergleichsweise ähnliche Operation: beim Warenkorb die "Anzahl" der Artikel verändere, wird dies ohne Sicherheits-Problem-Meldung übernommen - es geht also praktisch.

Nun komme ich aber nicht weiter, was muß ich in der gift_cart.php ändern, damit der Coupon-Code ebenso verschlüsselt übertragen wird?

Vielen Dank

Linkback: https://www.modified-shop.org/forum/index.php?topic=32037.0

[Bonsai]

frag mal web28 warum hier NONSSL drinsteht:

Code: PHP  [Auswählen]

$gift_smarty->assign('FORM_ACTION', xtc_draw_form('gift_coupon', xtc_href_link(FILENAME_SHOPPING_CART, 'action=check_gift', 'NONSSL'))); // web28 - 2010-09-21 - change SSL -> NONSSL
 

Ist nur ein Schuss ins blaue, keine Ahnung ob das die Ursache ist. Kannst ja auch mal das draus machen und testen:

Code: PHP  [Auswählen]

$gift_smarty->assign('FORM_ACTION', xtc_draw_form('gift_coupon', xtc_href_link(FILENAME_SHOPPING_CART, 'action=check_gift', 'SSL'))); // web28 - 2010-09-21 - change SSL -> NONSSL
 

Eventuell hilft es. Nur sollte man schon wissen warum web28 das damals geändert hat. Er hatte sicher einen Grund.

[servsens]

Ja prima, nach dem ich den Code in der gift_cart.php -wie von Dir beschrieben- geändert hab', war die Sicherheits-Problem-Meldung weg
Vielen Dank!