Sicherheitslücke???

[siiilke]

hallo liebes modified-team,

mir ist grad was merkwürdiges passiert; ich kann es auch nicht reproduzieren, aber wollte es euch auf jeden fall mitteilen - vielleicht habt ihr ja schon mal davon gehört???

ich war im backend eines shops eingeloggt, als admin. um etwas zu testen, was mein kunde mir beschrieben hatte, habe ich einen anderen browser (safari) geöffnet und denselben shop darin aufgerufen - ich wollte das nicht als admin testen, sondern unangemeldet bzw. mit einem normalen user-account.

ich habe den shop nur aufgerufen, mich nicht angemeldet ... war aber bereits angemeldet. und zwar als die kundin, die zuletzt eine bestellung im shop aufgegeben hatte. ich habe mich definitiv nicht als diese kundin angemeldet, ich kenne weder sie noch ihre zugangsdaten.
ich hätte ihre kontodaten ändern können, oder eine weitere bestellung in ihrem namen aufgeben können ... also durchaus sicherheitsrelevant.

ich habe dann einen weiteren browser geöffnet (chrome) - dort hat sich der shop ganz normal gestartet, ohne dass ich angemeldet gewesen bin.
nachdem ich mich im safari aktiv abgemeldet habe, konnte ich das ganze auch damit nicht reproduzieren.

wie kann das sein???

sonnigen gruß

silke

Linkback: https://www.modified-shop.org/forum/index.php?topic=35821.0

[awids]

Kein Bug, wahrscheinlich nur ein weiterer Nebeneffekt einer wirklich unfähigen Umsetzung einer Full-SSL-Verschlüsslung, welche zu Session-Problemen und anderen Nebenwirkungen führt/führen kann. Du kannst diesen Beitrag mit deinem anderen in einen Topf schmeißen. Such im Forum doch bitte mal die Anleitung für eine richtige SSL-Verschlüsselung im ganzen Shop.

Liebe Grüße

Alex

[p3e]

Genauer gesagt: wenn du den Link von deiner Kundin bekommen hast und im Link die Session-ID enthalten ist (MODsid) und deine Kundin sich nicht ausgeloggt hat, sagst Du mit der Session-ID dem Shop, dass er für dich die selbe Session öffnen soll.
Im normalen Shop sollte die Session-ID nur am Anfang im Link sein. Das ist das selbe was Alex sagt, nur dachte ich es wäre für dich einfacher erst mal auf die Session-ID zu achten.

[p3e]

Ich habe gerade erst deinen zweiten Beitrag gelesen. Jetzt weiß ich auch wieso sich Alex so sicher war, dass es an der SSL Einstellung liegt =)

[siiilke]

Hallo p3e,

danke für deine Antwort.
Ich hatte keinen Link von der Kundin, ich habe den Shop durch direkte Eingabe der URL in der Adresszeile des Browsers aufgerufen.

Da das Problem ja scheinbar mit dem anderen zusammenhängt, schreibe ich mal im anderen Beitrag weiter. Für den Fall, dass du mir noch was hilfreiches sagen kannst ...

Warenkorb füllt und leert sich selbstständig

Ich such dann jetzt erstmal hier im Forum wegen der Verschlüsselung (die ich übrigens exakt so eingerichtet habe, wie es im Handbuch beschrieben ist ... )

Sonnigen Gruß

Silke