D3 Modul Connector - Sicherheitsprüfung

Deutsches Forum
1

Mit dieser Bibliothek schneiden wir ein ganz wichtiges Thema an. Die Übersicht über den Connector findet ihr hier.

[B]Sicherheitsprüfung[/B]

Leider gehen im normalen Shopalltag die eigentlich wichtigen Dinge gern unter. Wichtig ist zum Beispiel, die Datensicherheit regelmäßig zu prüfen. So sollten keine Datenbankverwaltungen (z.B. phpMyAdmin) nach außen offen gehalten werden. So kann theoretisch damit jeder Einblick in die Datenbank nehmen, brisante Kundendaten auslesen oder im schlimmsten Fall sogar Daten löschen. Ein Horrorszenario für jeden Shopbetreiber!

Als zusätzliche Bibliothek kann dazu die “Sicherheitsprüfung” im Connector kostenfrei installiert werden. Diese schaut die üblichen Schwachstellen durch. Geprüft werden zum Beispiel:

[ul]
[li]im Shopordner liegende phpMyAdmin-Installationen (unabhängig der Shopdatenbank)[/li][li]im Shopordner liegende mySQLDumper-Installationen (unabhängig der Shopdatenbank)[/li][li]richtig gesetzte Berechtigungen im Shop-Frontend, im Export-, Backup- und TMP-Ordner[/li][li]mit .htaccess geschützter Adminbereich[/li][li]ob die Datei “oxchkversion” nicht im Shop liegen blieb[/li][li]oder ob Altasten aus der Installation oder von Updates übrig blieben[/li][li]…[/li][/ul]

Sind kritische Einstellungen vorhanden, werden diese in der Liste rot markiert. Zusätzlich steht daran eine sofortige Lösungsmöglichkeit bereit. Wir empfehlen, diese Seite regelmäßig zu kontrollieren.

Bitte beachtet, daß diese Prüfungen nur nach einem bestimmten Schema durchgeführt werden. Daher erhebt der Sicherheitscheck keinen Anspruch auf Vollständigkeit. Deswegen sollte jeder Shopbetreiber seinen Server auch noch einmal selbst nach weiteren Schwachstellen absuchen.

Sind euch noch weitere Punkte aufgefallen, die hier nicht mit geprüft werden, nehmen wir die gern mit in die Prüfung auf. Gebt uns dazu bitte Bescheid.

Die Sicherheitsprüfung findet ihr (nach deren Installation) im Adminbereich unter “D3 Module -> Modul-Connector -> Sicherheitsprüfung”.

2

Im Installationspaket fehlt das Bild out/admin/img/d3error.png

3

[QUOTE=Hebsacker;48215]Im Installationspaket fehlt das Bild out/admin/img/d3error.png[/QUOTE]

Die Bilder sind in den aktuellen Versionen zu einer großen Sammlung (d3modcfg_icons.png) zusammengefaßt. Einzelbilder liegen da gar nicht mehr bei.

Will Dein Browser noch alte Bilder nachladen, steht (nach den letzten Updates) entweder noch ein altes Template in Deinem Shop, der TMP-Ordner kennt noch einen alten Stand oder der Browser cached noch die frühere Version. Schau da bitte noch einmal.

4

Ich habe den Connector gestern bei Euch im Shop gezogen, heute installiert, alle verfügbaren Bilbliotheken nachgezogen / aktualisiert und auch immer brav das /tmp geleert…

Aber trotzdem verweist die Stelle auf den o.a. Pfad, wo ja nach Deiner Aussage gar kein Bild mehr liegen soll.

Welches Template steuert das denn? Dann pass ichs zur Not direkt dort an.

5

[QUOTE=Hebsacker;48219]Ich habe den Connector gestern bei Euch im Shop gezogen, heute installiert, alle verfügbaren Bilbliotheken nachgezogen / aktualisiert und auch immer brav das /tmp geleert…

Aber trotzdem verweist die Stelle auf den o.a. Pfad, wo ja nach Deiner Aussage gar kein Bild mehr liegen soll.

Welches Template steuert das denn? Dann pass ichs zur Not direkt dort an.[/QUOTE]

Gib mir eher mal bitte die Seite, die Du da aufrufst (vllt. ein Screenshot). Wenn’s tatsächlich ein Fehler ist (kann ja passieren), würde ich das gern generell beheben.

6

hier ein screen mit Dragonfly

7

[QUOTE=Hebsacker;48222]hier ein screen mit Dragonfly[/QUOTE]

Ist tatsächlich ein Fehler. :frowning: Ich korrigier’s kurzfristig. Dank Dir für den Hinweis.

8

np :smiley: (ich darf ja auch mal was finden…)

Kannst Du mir dann noch mit dem Code für die Templateänderungen bei Eurem GA-Modul weiterhelfen?

http://www.oxid-esales.com/forum/showthread.php?t=8015&page=2#post48204

9

[QUOTE=Hebsacker;48225]np :smiley: (ich darf ja auch mal was finden…)

Kannst Du mir dann noch mit dem Code für die Templateänderungen bei Eurem GA-Modul weiterhelfen?

http://www.oxid-esales.com/forum/showthread.php?t=8015&page=2#post48204[/QUOTE]

Gratulation! :smiley: Antwort ist raus.