modified eCommerce Shopsoftware 3.0.2 rev 15701 veröffentlicht

[Timm]

Moin

Kannst du den Zusammenhang zwischen Meldung und Name des Adminverzeichnisses etwas erläutern?

Gruß Timm

[karsta.de]

Scheinbar wird die Meldung nicht in allen Browsern angezeigt. Bei mir wird sie z.B. in FireFox nicht angezeigt, aber in Crome schon. Getestet für ein und den selben Shop. (Shopversion 3.0.2)

BG Karsta

[noRiddle (revilonetz)]

Äußerst unschön ist dabei, daß anscheinend nach Hause telefoniert wird, denn wie sonst kann die Meldung zustande kommen.

Gruß,
noRiddle

[noRiddle (revilonetz)]

@Timm
p3e meint, daß aufgrund des frei bezeichenbaren Admin-Verszeichnisses gezielte XSS-Angriffe so gut wie unmöglich sind.
Auf der Seite des CKEditors wird nämlich auf XSS angespielt, was die "not secure"-Message betrifft.

Gruß,
noRiddle

[AGI]

man könnte das "Nachhausetelefonieren" auch einfach ausschalten:

Datei:
admin/includes/modules/ckeditor/config.js

Code: PHP  [Auswählen]

CKEDITOR.editorConfig = function( config ) {
        // Define changes to default configuration here. For example:
        // config.language = 'fr';
        // config.uiColor = '#AADC6E';
};

ändern in

Code: PHP  [Auswählen]

CKEDITOR.editorConfig = function( config ) {
        // Define changes to default configuration here. For example:
        // config.language = 'fr';
        // config.uiColor = '#AADC6E';
config.versionCheck = false;
};

damit erledigt sich die Meldung.
Gelöst ist ein Sicherheitsproblem, wenn es eines gibt, dann aber nicht.

[noRiddle (revilonetz)]

Danke für den Tipp.
Das ginge auch update-sicher über eine PHP-Datei in /includes/extra/wysiwyg/  mit diesem Inhalt:

Code: PHP  [Auswählen]

$customConfig['versionCheck'] = "versionCheck: false,";

Was Sicherheitprobleme betrifft sollte man ohnehin das Token-System im Backend aktiviert und das Admin-Verzeichnis halt umbenannt haben. Außerdem nicht im selben Browser in welchem man sich in den Shop einloggt auf dubiosen Seiten verkehren.
Trotzdem sollte die Sache natürlich einer Lösung zugeführt werden.

Gruß,
noRiddle

[GTB]

Aber sind wir tatsächlich von einem Sicherheitsproblem betroffen ?
Wir verwenden den Editor in einem geschützten Bereich. Wer da Zugriff hat, hat der Shopbetreiber eh ein anderes Problem.

Wir sollten auf alle Fälle mal den Versionscheck abschalten.

Ich finde es auf alle Fälle komisch, da jetzt wo es einen LTS gibt und dieser kostenpflichtig ist auf einmal irgendwelche XSS Lücken gefunden wurden.

Gruss Gerhard

[noRiddle (revilonetz)]

Sehe ich ähnlich.

Gruß,
noRiddle

[GTB]

Und wer die Regeln, die Oli hier geschrieben hat befolgt, hat so oder so keinen Stress:

[...]
Was Sicherheitprobleme betrifft sollte man ohnehin das Token-System im Backend aktiviert und das Admin-Verzeichnis halt umbenannt haben. Außerdem nicht im selben Browser in welchem man sich in den Shop einloggt auf dubiosen Seiten verkehren.
[...]

Gruss Gerhard

[AGI]

Danke für den Tipp.
Das ginge auch update-sicher über eine PHP-Datei in /includes/extra/wysiwyg/  mit diesem Inhalt:

Code: PHP  [Auswählen]

$customConfig['versionCheck'] = "versionCheck: false,";

Was Sicherheitprobleme betrifft sollte man ohnehin das Token-System im Backend aktiviert und das Admin-Verzeichnis halt umbenannt haben. Außerdem nicht im selben Browser in welchem man sich in den Shop einloggt auf dubiosen Seiten verkehren.
Trotzdem sollte die Sache natürlich einer Lösung zugeführt werden.
[...]

Danke, die updatesichere Variante wollte ich auch gerade bringen. Dann klingelte wieder das Telefon...

[Ben]

Kann es auch bestätigen.
Chrome Version 121.0.6167.140

[AGI]

Anbei die Datei, die im Shop ergänzt werden muss, um die Fehlermeldung abzuschalten.
Eventuell tatsächlich vorhandene Probleme werden jedoch nicht gelöst.

[Duncan]

Aktueller Shop 3.0.2 mit Template neo_boxable, PHP 8.1.24, MySQL 10.6.15-MariaDB

Nach Aufspielen der Datei von AGI ist die Fehlermeldung korrekt verschwunden.

Wobei wir bei dieser Testerei ein scheinbar ganz neues Problem festgestellt haben:
Wir haben mehrere Admins mit unterschiedlichen Rechten, nenne ich sie jetzt mal A, B und C

- Es meldet sich A auf seinem Rechner an, wird im [greeting] mit A angesprochen.
- Es meldet sich B auf dem selben Rechner an, wird im [greeting] mit A angesprochen, alle anderen Inhalte wie Adresse, Warenkorbinhalte etc. sind richtig für B

Ok, mal den Cache manuell löschen, auf einmal wird B auf seinem eigenen Rechner im [greeting] mit C angesprochen.

Dieses Verhalten scheint aber nur die Gruppe Admins zu betreffen, bei der Gruppe "Kunden" haben wir das nicht herbeiführen können.

Keine Logeinträge

Gruss

[fiveBytes]

Hallo zusammen,

das dürfte nicht nur bei den Admins auftreten, denn das Problem liegt in der cachID (Zeile #17, templates/_YOUR_TEMPLATE/source/boxes/greeting.php). Grundsätzlich ist bei den Boxen der Gebrauch der 'customers_status_id' ja ok, denn die Inhalte sind wenn überhaupt Kundengruppen und nicht Nutzer abhängig.

Das ist bei der greetings-Box natürlich anders, hier sollte die CacheID besser wie folgt fetsgelegt werden:

Code: PHP  [Auswählen]

$cache_id = md5('lID:'.$_SESSION['language'].'|cID:'.((isset($_SESSION['customer_id'])) ? $_SESSION['customer_id'] : $_SESSION['customers_status']['customers_status_id']));

Dann sollte jeder Nutzer auch mit seinem Namen begrüßt werden, egal welche Kundengruppe.

Gruß

[Duncan]

Getestet und funktioniert.