Hallo liebe Community,
Auf der Suche nach ein Userfreundliche und zukunftsorientierte Shop bin ich hier bei euch gelandet.
Ich habe den Demo-Shop getestet und etwas auch im Admin-Bereich geschaut, das sieht alles fast so aus wie ich mir vorstelle (bis auf Problem mit der Installation und rote Ampel, aber das wird wahrscheinlich auch lösbar sein).
ich habe gesehen, dass mehrere Versionen von den Shop gibt’s.
Da ich momentan nicht mir den teueren Shop leisten kann, interessiere mich erstmal für die open source Version.
Meine Frage, wo sind eigentlich die Einschränkungen?
Kann ich Oxid-Copyright in footer entfernen?
DANKE euch für die Antwort, und entschuldige mich für mein schlechtes Deutsch, wenn ihr euch zu Viel beim enträtsel von mein Text angestrengt haben solltet.
Das spricht auch für OXID!
Bisher war für mich das Wort Freiburg ein Synonym für Sonne, leidenschaftliche Fußballfans, schöne Landschaften und sympathische Menschen. Jetzt kommt auch eine tolle Software dazu!
Ich glaube ich werde irgendwann nach Freiburg ziehen.
dieser Copyright-Kommentar enthält auch die oxid Versions-Nummer. Dadurch ist es für einen Angreifer um ein vielfaches einfacher im Fehlerfall eine verwundbare Installation zu finden. Kann man nicht zumindest die Versionsnummer entfernen?
Mit dem Kommentar habe ich ja kein Problem, nur mit der Versionsnummer. An der Stelle wäre es nett, wenn OXID eSales diese entfernen würde, oder das Recht einräumt zumindest die Versionsnummer zu entfernen.
Das ist wie klarsichtfolie vor ein kaputtes fenster zu kleben damit einbrecher nicht merken das es kaputt ist. Einfach immer die aktuellste Version haben, zudem schützt das auch nicht wirklich vor angreifern, die probieren nämlich einfach jede mögliche attacke durch.
[QUOTE=csimon;39524]Das ist wie klarsichtfolie vor ein kaputtes fenster zu kleben damit einbrecher nicht merken das es kaputt ist.
[/QUOTE]
Der Vergleich hinkt für mich ein wenig, aber dafür ist es auch ein Vergleich. Ich würde eher sagen, das wäre wie eine große Fahne am Auto, die anzeigt, welche Alarm-Anlage/Weg-Fahrsperre man drinnen hat und welchen Revisionsstand diese aufweisen. Ich glaube so einfach will man es Dieben dann auch nicht machen.
[QUOTE=csimon;39524]
Einfach immer die aktuellste Version haben, zudem schützt das auch nicht wirklich vor angreifern, [/QUOTE]
Volle Zustimmung mit einem kleinen ABER. Es gibt eine gewisse Response Zeit. Manchmal beträgt diese auch 1 Tag und das kann unter Umständen zu lange sein.
Da stimme ich nicht 100% zu. Der erste Schritt ist oft ein System mit einer bekannten Sicherheitslücke zu finden. Und da hilft eine Versionsnummer enorm. Es spart vor allem Zeit.
Nicht umsonst wird bei vielen Security Hinweisen zu Apache gesagt, man solle
ServerTokens ProductOnly
ServerSignature Off
setzen.
Im oxid-wiki “Tutorials/Best Practice Security Actions” steht auch, display_errors off
setzen, damit einem Angreifer keine wertvollen Informationen gegeben werden. Wenn man diese Strategie konsequent weiter verfolgt, kann das nur heisen, Versions-Nummer raus aus allen öffentlichen Seiten.
