« Zur Blog Startseite

Blog-Kategorie "Recht & Sicher"


Wichtiges Sicherheitsupdate für OXID eShop verfügbar

OXID hat Anfang November ein wichtiges Sicherheitsupdate veröffentlicht. Wir empfehlen allen OXID Shopbetreibern, das Update – oder zumindest den Hotfix – zeitnah einzuspielen (falls nicht bereits geschehen).

Damit wird eine Sicherheitslücke geschlossen, die von Angreifern genutzt werden kann, um einen Shop zu lähmen. Der Angriff kann dabei schnell, oder aber auch über einen lange Zeitraum verteilt erfolgen. Letzteres macht einen Angriff natürlich schwer identifizierbar. Ein Angriff äußert sich dadurch, dass der Shop immer schwerfälliger und langsamer wird.

Die Lücke besteht zwar nur, wenn Kategorien ohne Artikel nicht per Config-Einstellung ausgeblendet werden, trotzdem empfehlen wir auch allen nicht betroffenen Shops, das Update durchzuführen.

Wer jetzt schon im Weihnachtsstress ist und keine Zeit für ein umfassendes Update hat, kann sich schnell und kurzfristig mit dem Hotfix behelfen, der ab Version 4.7.3 zur Verfügung steht. Ein richtiges Update sollte jedoch nicht zu lange hinausgezögert werden.

Weiterlesen »

Kategorie: Recht & Sicher | Schlagwörter: , , , ,


Zwei Möglichkeiten, Passwörter sicher zu senden (und warum E-Mails nicht dazu zählen)

Wenn wir für unsere Kunden tätig werden, benötigen wir immer wieder Zugangsdaten. Egal, ob zum Server, zum Hosting-Paket, zum Drittanbieter oder fürs Shop-Backend, alles ist immer mit einer Benutzername-Passwort-Kombination gegen unberechtigte Zugriffe geschützt. Und es führt kein Weg daran vorbei, uns diese Kombinationen auf dem einen oder anderen Weg zu übermitteln.

Dass E-Mail dafür der unsicherste Weg ist, hab ich hier schon das eine oder andere Mal erwähnt. Ich will es aber nochmal deutlicher sagen, weil wir immernoch öfter Zugangsdaten per E-Mail bekommen, als man es glauben sollte:

E-Mails sind kein geeigneter Weg zu Übertragung von Zugangsdaten!

Weiterlesen »

Kategorie: Recht & Sicher | Schlagwörter: , ,


Spam in OXID Shops vermeiden (auch für Anfrageformular Modul)

SicherheitIn letzter Zeit erreichen uns hin und wieder Anfragen, weil Shopbetreiber nach Aktivieren des Anfrageformular-Moduls plötzlich häufig Spam erhalten. Und das, obwohl sie das Captcha, also den Spamschutz des Formulars, aktiviert haben.

Das Problem ist jedoch keines, das nur die Anfrageformulare betrifft, die durch das Modul im Shop erzeugt werden – sondern ein generelles, das auch das normale Kontaktformular von OXID betreffen kann. Denn unser Modul verwendet als Spamschutz die von OXID mitgelieferte Captcha-Funktionalität.

Dass das Spamaufkommen plötzlich höher ist (oder überhaupt erst entsteht), liegt vielmehr daran, dass die Anzahl der Formulare im Shop durch das Modul extrem erhöht wird. Denn während Sie vorher nur ein Kontaktformular hatten, haben Sie nun auf jeder Artikelseite ein Formular.

Die Lösung ist relativ einfach. OXID liefert zur Sicherung des Captcha-Codes einen Captcha-Key aus, der in der Datei config.inc.php gesetzt wird. Viele Shops haben hier sowohl bei Neuinstallation als auch bei Updates einfach den Standardwert belassen, so dass die eigentliche Funktion dieses Wertes außer Kraft gesetzt wird. Denn der CaptchaKey erfüllt seine Aufgabe erst dann, wenn er tatsächlich ganz individuell vom Shop vergeben wird. Erst dann wird Ihr Captcha beinahe unentschlüsselbar und sicher.

Weiterlesen »

Kategorie: Recht & Sicher |


Teure Shop-Ausfälle vermeiden

Closed Schild

Der Ausfall des Online-Shops – egal ob nur teilweise oder komplett – ist der Horror eines jeden Shopbetreibers. Denn Ausfälle kosten nicht nur den direkt entgangenen Umsatz, der während der Ausfallzeit ausgeblieben ist. Sie kosten oft auch massiv Image, und die Kunden, die während eines Ausfalls entnervt zur Konkurrenz wechseln, kommen selten zurück.

Richtig böse wird es, wenn der Ausfall vom Shopbetreiber selbst lange Zeit nicht entdeckt wird.

Und besonders bitter sind solche Ausfälle zur jeweiligen Hochsaison des Shops, im Weihnachtsgeschäft – oder was auch immer je nach Sortiment die Hauptumsatzzeit ist. Gerade in dieser Zeit sind Ausfälle jedoch umso wahrscheinlicher, weil der Shop hier einfach am stärksten frequentiert ist.

Weiterlesen »

Kategorie: Recht & Sicher | Schlagwörter: , , , ,


Ricky erklärt das Web: Was ist SSL?

RickyHallo, ich bin Ricky. Das WEB-Grips Team lässt mich im WEB-Letter und hier im Blog hin und wieder einen Internet-Begriff erklären.

Heute geht es um SSL.

Warum muss man eigentlich für alles, was so einfach ist, so schwierige Abkürzungen verwenden? Aber das ist ja gut – so hab ich wenigstens ein Thema, über das ich mich auslassen kann …

Weiterlesen »

Kategorie: Recht & Sicher | Schlagwörter: , , ,


Mit diesen Handgriffen schützen Sie Ihren Shop vor Hacking-Angriffen

Schloss vor QuellcodeJaja, ich weiß, schon wieder dieses leidige Thema Sicherheit. Wie weh das tun kann, wenn der Shop tatsächlich gehackt wird, weiß man vermutlich immer erst, wenn man es einmal erlebt hat.

Ich will keine Horror-Szenarien malen und nichts liegt mir ferner als Paranoia, dennoch will ich natürlich sensibilisieren, denn ich weiß aus der Praxis – es kommt relativ häufig vor. Und es gibt einige kleine Dinge, die man tatsächlich tun kann, die das Risiko enorm senken! Vorbeugen ist besser als heilen – hier gilt das sehr, denn einen gehackten Shop wieder zu säubern ist riesiger Aufwand und manchmal sogar gar nicht wirklich möglich. Von Daten- und Vertrauensverlusten sowie Umsatzeinbußen, weil der Shop eine Weile offline geht, ganz zu schweigen.
Weiterlesen »

Kategorie: Recht & Sicher | Schlagwörter: , ,


Simsalabim – sicherer OXID-Adminbereich in 3 Schritten

ZauberhutDer Administrationsbereich (= Backend) von OXID lässt sich in aller Regel aufrufen, indem man /admin an die Shop-Adresse anhängt.

Somit kann jeder, der sich ein bißchen auskennt und Langeweile hat (es sind ja grad Ferien), problemlos das Login-Formular aufrufen und ein bissel damit „herumexperimentieren“. Verwendet man dann als Benutzernamen z. B. „admin“ (gerne verwendet) und ein schwaches Passwort, ist es nur eine Frage der Zeit, bis es jemand unberechtigt in den heiligen Bereich schafft.

Der Adminbereich muss aber gar nicht zwingend unter /admin erreichbar sein. Er könnte beispielsweise /sonne oder /kartoffelsalat heißen. Aber auch /_admin (mit Unterstrich) erhöht bereits die Sicherheit des Shop-Backends enorm.

Und das lässt sich sogar sehr einfach – innerhalb von 10 bis 15 Minuten – durchführen.

Weiterlesen »

Kategorie: Recht & Sicher | Schlagwörter: , , ,


Vorsicht – Workaround schließt NICHT die Sicherheitslücke in OXID.

Gerissene KetteIch wollte hier eigentlich nicht viele Worte verlieren. Aus Rücksicht auf alle OXID Shopbetreiber, die es mit dem Update nicht so genau nehmen. Um sie nicht unnötig in Schwierigkeiten zu bringen.

Aber letztlich kann ich auch nicht die Augen verschließen vor einem offensichtlichen Missverständnis.

OXID hat Informationen zu einer Sicherheitslücke versendet. Und rät dringend zu einem Update.

OXID hat in seiner Mitteilung zur Sicherheitslücke neben dem Hinweis auf das Bugfix-Update auch einen Workaround vorgestellt. Dieser Workaround ist KEIN Ersatz für das Update! Er sollte zusätzlich zum Update durchgeführt werden. Aber Ihre Sicherheitslücke im Shop ist damit NICHT geschlossen!
Weiterlesen »

Kategorie: Recht & Sicher | Schlagwörter: , , ,


Bremst SSL Ihren Shop aus?

Deux escargotsSSL, das heutzutage eigentlich TLS heißt, ist ein Übertragungsprotokoll für Internetseiten, das dafür sorgt, dass nur Sender und Empfänger die gesendeten Daten lesen können.

Oder anders ausgedrückt – SSL sorgt dafür, dass Logindaten, Bankdaten und andere persönliche Angaben, die in Ihrem Shop eingetragen werden, nur dort ankommen, wo Sie hingehören – in Ihrem Shop.

Jeder Shop sollte daher ein SSL Zertifikat haben.

SSL funktioniert ganz grob erklärt wie folgt: Wenn der Client (Besucher) eine Seite auf dem Server (Shop) abruft, schickt der Server ihm zunächst das Zertifikat. Der Client (in diesem Fall der Browser) prüft, ob das Zertifikat gültig und vertrauenswürdig ist. Anschließend werden „Schlüssel getauscht“, das heißt, die beiden einigen sich darauf, wie Daten zu ver- und wieder zu entschlüsseln sind, so dass ihre Nachrichten kein Fremder mitlesen kann.

Weiterlesen »

Kategorie: Recht & Sicher | Schlagwörter: , , ,


Wichtig: Neue EU-Richtlinie seit 9. Januar für Shops – sind Sie schon auf dem neuesten Stand?

Gesetze + RichtlinienJanuar 2016 – das Weihnachtsgeschäft ist geschafft. Zurücklehnen, durchatmen, entspannen? Fehlanzeige – denn just letzten Samstag trat wieder eine neue EU-Richtlinie in Kraft.

Das hat schon ziemlich hohe Wellen geschlagen, denn die Voraussetzungen, die dafür erfüllt sein müssen, wurden von der EU-Kommission erst in buchstäblich allerletzter Minute geschaffen.

Betroffen sind alle Händler, die Waren im Online-Shop (auch) an Verbraucher (also B2C) verkaufen.

Nun ist eine neue Richtlinie glücklicherweise nicht automatisch immer mit viel Aufwand verbunden. Dafür immer mit einem Abmahnrisiko, wenn man sie ignoriert!

Weiterlesen »

Kategorie: Recht & Sicher | Schlagwörter: , , ,


Piwik