modified eCommerce Shopsoftware eCommerce Shopsoftware 1.04 veröffentlicht

[speedy]

Hihi, es ist ja auch nur noch der Newsletter + Gutschein, aber nicht Artikelanfrage, deshalb passt der Kommentar nicht mehr im Source-Code

Wann nehmt Ihr eigentlich endlich Datum und Version aus dem Footer, das ist ein rießen Sicherheitsrisiko. Brauch mich nur nach Sicherheitslöchern in speziell der Version schlaumachen und hacke den Shop.

[unicorner]

Ein herzliches Danke schön an die fleissigen Entwickler.

modified eCommerce Shopsoftware war und ist für mich die richtige Entscheidung gewesen und ist es immer noch.

LG

Peter

[kale18]

Hallo,

vielen Dank für das Update. Ihr seit echt klasse...

wau, auf meinem XAMPP läuft schon mal das Update.
Jetzt will ich es auf den Server kopieren.
1.) Ich benutzt JTL-WAWI.
Muss ich da was beachten?
2.) ach ja, habe vor dem Update vergessen, das PaypalIPN zu deinstallieren.
Kann das Auswirkungen haben. Auf dem Server kann ich es ja noch richtig machen )

Gruß
Katrin

[web4design]

[...]
Wann nehmt Ihr eigentlich endlich Datum und Version aus dem Footer, das ist ein rießen Sicherheitsrisiko. Brauch mich nur nach Sicherheitslöchern in speziell der Version schlaumachen und hacke den Shop.

Ich denke hier hat keiner was dagegen, wenn man die Version raus nimmt oder? Der Link bleibt ja ganz normal enthalten.

Gruß

[guensi]

Prinzipiell ist die Version im Footer unnötig. Diese Information hilft keinem Kunden. Ob sie allerdings einem Hacker hilft? Entweder der Hacker hat was drauf, dann kann er alleine schon am Source-Code die Version erkennen. Oder nicht, dann wird ihm die Version nicht viel weiter helfen. Das erspart also im höchsten Fall etwas Sucharbeit. Das Hackerargument würd ich daher mal in die Tonne treten.

Aber wen hat das eigentlich zu interessieren auf welcher Version mein Shop läuft, ausser mir selbst? Aus meiner Sicht gibt es keinen vernünftigen Grund für die Angabe der Shopversion im Footer. Wer das aus freien Stücken tun möchte, dem sei das frei gestellt das zu ergänzen. Aber als Standard ist das eine Nummer zu "freizügig".

Man mag das nett finden, wenn eine Frau/Mann nackt durch die Fußgängerzone rennt, wenns die/der eigene ist wird die Sicht vermutlich eine andere sein ...

[speedy]

Es erleichtert dem Hacker zumindest seine Arbeit -> Silbertablett

Das

Code: PHP  [Auswählen]

<meta name="generator"

sollte natürlich dann auch ohne Datum und Version sein.

[guensi]

Hmm, ob der Hackerwahn hier wirklich als Maßstab dienen sollte? Ich glaub nicht dass die Jungs und Mädels in einem Hackerclub Ehrenbezeigungen für das Auffinden einer Shopversion im Footer verteilen. Und der Hacker der solche Hinweise nötig hat stellt mit Sicherheit das geringste Problem dar.

Aber den Hinweis dass die Version nicht nur im Footer sondern auch im Metatext unnötig ist, halte ich für wichtig. Das sollte in der Standardversion beachtet werden. Wer das öffentlich machen will, kann das ja problemlos ändern.

Aber da das nur meine Meinung ist, werde ich gleich mal eine Umfrage starten, dann können wir das Feedback der Community ja als Grundlage nehmen.

[speedy]

Wir hatten das eh schon einmal ausführlich diskutiert, wurde nur vergessen, möchte das ungern noch einmal komplett durchkauen und damit den Thread zuknallen. Es ist auf jeden Fall eine Erleichterung, ob das ehrenhaft für die Hacker ist oder nicht, ist egal.
Außerdem bauen sowieso Script-Kiddies, die sich ausprobieren, den meisten Scheiss. Professionelle Hacker haben andere Ziele, nicht den 0815-Shop von Oma Hinze.

[jannemann]

Hi,

auch von meiner Seite ein großes und herzliches Dankeschön an die Entwickler für die neue Version!!

Macht weiter so.

Schöne Grüße,
Jan

[guensi]

... Es ist auf jeden Fall eine Erleichterung, ob das ehrenhaft für die Hacker ist oder nicht, ist egal.
Außerdem bauen sowieso Script-Kiddies, die sich ausprobieren, den meisten Scheiss. Professionelle Hacker haben andere Ziele, nicht den 0815-Shop von Oma Hinze.

Also wenn Script-Kiddies nur mit der Angabe einer Shop-Version Unheil anrichten können, dann sollten wir das Projekt in die Tonne treten. Wozu wären alle Sicherheitsvorkehrungen gut, wenn die Angabe der Version (auch ohne Angabe der Version wird diese problemlos erkannt) schon das Scheunentor für Angriffe wäre?

Vorsicht ist geboten und eine unabdingbare Grundvoraussetzung für jede Online-Präsenz. Aber daraus eine generelle Paranoia abzuleiten, soweit sind wir hoffentlich noch nicht.

Maß halten ist angesagt, wenn es um die Sicherheitsparanoia geht. Ansonsten ist es eine Frage jedes einzelnen, was er bereit ist preis zu geben und was nicht. Und da beginnt die Problematik.

[speedy]

Moah guensi, du willst immer alles noch toter diskutieren, als ich das immer mache

Es ist unzweifelhaft so, wenn ich genau weiß welche Version einer Software man verwendet, dass man gezielt, gemeldete Sicherheitslücken nutzen kann. Schließlich sind diese, wenn vorhanden, in Foren, Bug-Tracker usw. schön breitgetreten.
Sprich, man ist nicht mal mehr dazu genötigt die Sicherheitslücken selbst zu finden, die wird einem dann gleich schön präsentiert.

Man könnte es auch oben im Shop hinschreiben: "Derzeit sind wir bis zur Lösung des Problems aufgrund des Bugs xyz hackbar, schauen Sie doch einfach mal rein..."

Da ist es auch ganz egal, um was es geht, ob nun ein Betriebssystem, ein Browser oder sonstiges.
Die Version an sich nützt natürlich nicht direkt, sondern das dadurch automatisch gewonnene Wissen. Der Einstieg ginge kaum leichter ...

Große Shops gehen nicht umsonst sogar soweit, sämtliche Hinweise auf die Shopsoftware zu verstecken, warum nur wenn nicht unter anderem zur Sicherheit ?
Da gehts nicht nur ums Image, damit man nicht sieht, dass Konzern X so eine "olle, unprofessionelle" Software verwendet, obwohl es optisch aussieht wie eine Eins.

Aber eigentlich hatten wir das alles schon mal, denke sogar, dass du das damals warst.

[Haina]

ich kann dem Speedy nur recht geben, aber eigentlich wollte ich dem tollen Team ja für die 1.04 danken, die ich schon als Beta klasse fand.

Gruß Enrico

[Spritzpistole]

Also ich habe es ohne großen Aufwand geschafft den von mir betreuten Shop von 1.03 auf die Version 1.04 zu aktualisieren.

Bei mir funktionierte, aus welchem Grund auch immer, das Einlesen der aktualisierten Datenbankstruktur nicht. Hierbei gab es immer eine Fehlermeldung. Habe dann einfach die einzelnen sql-Schritte durchgeführt - so hat es geklappt.

Die Aktualisierung des Templates ging zwar nicht so leicht vonstatten - aber nach 1,5h copy&paste hat auch das geklappt.

Danke für die Arbeit an das Entwickler-Team.

Gruß
Thomas

[Tomcraft]

Ui... 1,5h für das Update des Templates? Was hast du denn da alles aktualisiert?!

So viel hat sich doch von modified eCommerce Shopsoftware 1.03 zu 1.04 nicht geändert.

Grüße

Torsten

[Spritzpistole]

Also ich habe gemäß der Vergleichsliste jede modifizierte Datei des Templates einzeln manuell aktualisiert. Hatte in ziemlich vielen Dateien marginale Änderungen vorgenommen u. wollte mir das Design nicht zerschießen.

Gruß
Thomas

P.S. Hätte es eine schnellere Alternative gegeben?