modified eCommerce Shopsoftware 3.0.2 rev 15701 veröffentlicht

[Markus]

Hi

damit es nicht untergeht wurde ein Ticket erstellt.
Ticket #2702

Markus

[Rocket3]

Hallo zusammen,
bitte nicht lachen über meine Unwissenheit und über die "blöde" Frage, aber was bedeutet "Token-System" und wo im Backend kann man es aktivieren?

[...]
Was Sicherheitprobleme betrifft sollte man ohnehin das Token-System im Backend aktiviert und das Admin-Verzeichnis halt umbenannt haben. Außerdem nicht im selben Browser in welchem man sich in den Shop einloggt auf dubiosen Seiten verkehren.
[...]

Gruß

[TrueSlide]

Im Backend:

Konfiguration -> Adminbereich Optionen -> Admin Token System

[Rocket3]

Vielen Dank, habe es gefunden.
Gruß

[Timm]

Aber sind wir tatsächlich von einem Sicherheitsproblem betroffen ?
Wir verwenden den Editor in einem geschützten Bereich. Wer da Zugriff hat, hat der Shopbetreiber eh ein anderes Problem.

Wir sollten auf alle Fälle mal den Versionscheck abschalten.

Ich finde es auf alle Fälle komisch, da jetzt wo es einen LTS gibt und dieser kostenpflichtig ist auf einmal irgendwelche XSS Lücken gefunden wurden.
[...]

Moin

Den Versionscheck auszuschalten löst aber nicht das eigentliche Problem. Es würde nur nicht mehr angezeigt werden, dass wir ein veraltetes, ungeschütztes Extramodul nutzen.

Vielleicht sind wir mit dem Tokensystem und dem umbenannten Adminverzeichnis von außen geschützt. Aber es kann auch mißgünstige Mitarbeiter oder Programmierer (ohne ftp Zugang mit dem sie noch mehr anstellen könnten) mit Adminzugang geben. Wir sollten das System uptodate halten. Und dafür muss eine Lösung her, die weiter gepflegt wird mit Sicherheitsupdates. Ob das dann ckeditor 5 oder tinymce wird oder was ganz anderes, das muss diskutiert werden.

Und geschlossene XSS Sicherheitslücken kann man in recht vielen Updates des ckeditors finden. Das ist nicht neu. Hat aber dennoch einen Beigeschmack. Vor allem mit einer roten Warnmeldung. Entweder du zahlst für den Long term support oder machst ein Update auf ckeditor 5.

Gruß Timm

[Timm]

Und wer die Regeln, die Oli hier geschrieben hat befolgt, hat so oder so keinen Stress:
[...]

Doch beim updaten von Modulen, weil man immer den umbenannten Adminordner beachten muss.

[noRiddle (revilonetz)]

@Rocket3
Das Token-System beschützt vor sog. CSRF. Bemühe mal die Suchmaschine deines Vertrauens mit dem Begriff.

@alle
Gut zu wissen:
Wenn das Token-System im Shop aktiviert ist, kannst du nicht mehr im Backend in mehr als einem Tab gleichzeitig arbeiten wenn du in allen geöffneten Tabs etwas speichern möchtest.
Wenn man einen Tab öffnet um etwas rauszukopieren und einen anderen wo man etwas speichern möchte, muß man den Tab wo man speichern möchte als letztes öffnen.
Viele deaktivieren das Token-System weil sie sich das nicht merken können und dann genervt sind wenn der Speichervorgang nicht erfolgreich war.
Insofern man das Token-System deaktiviert, sollte man in dem Browser in welchem man im Backend des Shops arbeitet keine anderen Seiten besuchen, bis man aus dem Shop ausgeloggt ist.

Gruß,
noRiddle

[Rocket3]

@Rocket3
Das Token-System beschützt vor sog. CSRF. Bemühe mal die Suchmaschine deines Vertrauens mit dem Begriff.

Hallo noRiddle

danke für deinen Tipp, habe mir etwas davon durchgelesen, habe leider als Nichtprogrammierer und Hobby-Shopbetreiber nicht viel davon verstanden, da sehr viel fachmännisches dort steht, was für mich "Spanisches Dorf" bedeutet.

Trotzdem danke nochmals

Gruß

[noRiddle (revilonetz)]

Danke für den Tipp.
Das ginge auch update-sicher über eine PHP-Datei in /includes/extra/wysiwyg/  mit diesem Inhalt:

Code: PHP  [Auswählen]

$customConfig['versionCheck'] = "versionCheck: false,";

[...]

Ich sehe heute, daß die CKEditor-Meldung nicht mehr erscheint, auch wenn man den Versions-Check nicht ausschaltet.
Weiß jemand was ?

Gruß,
noRiddle

[Tomcraft]

Ich weiss nichts neues, kann aber bestätigen, dass die Meldung auch im DEV-Shop nicht mehr erscheint.

Grüße

Torsten

[Rocket3]

Hallo,

eine Frage an die Experten:

wo kann man in tpl_modified_nova die Unterkategorie-Bilder (Kategorie Bild Listing) so einzustellen, oder die Größe der Bilder zu verändern, dass 5 oder 6 Bilder in einer Zeile angezeigt werden (anstatt 4 wie z.Z. eingestellt ist).

Habe es in stylesheet.css versucht leider ohne sichtbaren Erfolg.

Danke im Voraus

Gruß

[awids]

In welcher Stylesheet hast du denn bitte nachgeschaut?

stylesheet.css

Code: CSS  [Auswählen]

.subcats_item {
  width:50%;
  border: solid #e1e1e1;
  border-width: 0px 1px 1px 0px;
}
@media only screen and (min-width: 690px) {
  .subcats_item { width:33.3333%; }
}
@media only screen and (min-width: 1060px) {
  .subcats_item { width:25%; }
}

Standard-Ansicht (Mobile First): 50% = 2 Spalten
Auflösung min. 690px: 33.3333% = 3 Spalten
Auflösung min. 1060px: 25% = 4 Spalten

[Rocket3]

Im templates/tpl_modified_nova/stylesheet.css

Habe das was du angegeben hast auch gefunden, habe leider keine Ahnung wie ich daraus mehr Spalten machen kann.

Gruß

[Rocket3]

Hallo awids,

danke für deinen Tipp, habe alle 3 Werte halbiert und jetzt funktioniert es, zwar noch nicht so wie ich es mir vorstelle, muß noch etwas experimentieren, aber der Tipp war richtig gut.

Gruß

[awids]

5 Spalten

Code: CSS  [Auswählen]

@media only screen and (min-width: 1060px) {
  .subcats_item { width:20%; }
}

- oder -

6 Spalten

Code: CSS  [Auswählen]

@media only screen and (min-width: 1060px) {
  .subcats_item { width:16.6666%; }
}