Jetzt berichtet auch die Internet World über das DSGVO Bußgeld für einen Online-Shop Händler Online Shop muss wegen Sicherheitslücken 65.500 Euro büßen - internetworld.de und am Ende die Anmerkung interessant, dass das Bußgeld nur so niedrig ausgefallen, weil das Unternehmen so proaktiv darüber informiert hat - das Passwörter geändert werden müssen. (Update vom 6. August 2021)
Daher gilt für OXID eShop immer einen Blick auf Release Plan Release plan • OXIDforge zu werfen. Aktuell werden die Serien 6.2 und 6.3 noch mit Sicherheitsupdates versorgt. Die Serie 6.1 und alle Versionen darunter gelten bereits als veraltet. (Stand vom 4. August 2021)
Update Dies betrifft Händler*innen und IT-Dienstleister gleichermaßen, kommt es z.B. zu einer Prüfung vom zuständigen Landesamt für Datenschutz und es besteht z.B. keine Auftragsverarbeitungsvereinbarung (AVV) zwischen beiden Parteien, dann haften beide Vertragsparteien. Dies heißt der IT-Dienstleister ggfs. auch in Haftung.
Hi,
naja, an der Passwortberechnung hat sich bei Oxid in den letzten Jahren meines Wissens nach nichts geändert. Weiß jemand ob die “sicher” sind, also mehr wie eine einfache MD5 Hash enthalten und den anforderungen der DSGVO entsprechen?
By the way: Problem bei einem Update sind ja auch eher die Module und die Kompatibilität… Hat schon jemand sich die Oxid 7.0.0 rev1 angeschaut? Gibt es bereits ein Demoshop irgendwo?
Dies wäre halt die Frage ob MD5 noch Stand der Technik wäre, laut Die Landesbeauftragte für den Datenschutz Niedersachsen (nicht Gerichtsurteil, es handelt sich um verhängtes Bußgeld) anscheinend nicht. Gerade bei Zahlungsanbietern ist durch die PSD2 die Zwei-Faktor-Authentifizierung Stand der Technik.
Update Hier sollte man technisch anmerken, dass MD5 ohne Salt verwendet wurden ist. Bei älteren OXID eShop Versionen kommt ein Salt zum Einsatz. Seit OXID eShop Community Edition Version 4.7.14 wurde bereits MD5 gegen SHA-2 getauscht OXID eShop 4.7.14/5.0.14 — OXID eShop 4&5 | Anwenderdokumentation
Dies sehr vielschichtig, OXID eShop Community Edition baut z.B. auf Symfony Components auf welche auch aktualisiert werden wollen. Im Prinzip jedes Softwarepaket welches im Shop genutzt wird sei es im Framework oder über ein Modul sollte regelmäßig aktualisiert und geprüft werden.
Salt wird für jeden User individuell benutzt. Damit ist eine Dekodierung “eigentlich” ausgeschlossen, denn die Hashwerte sind trotz gleichem Passwort niemals gleich.
Als Beispiel zur Updatefähigkeit sei mal das Paypal+ Modul zu nennen. Solange das nicht 6.3.x tauglich ist, lohnen auch die Updates nicht. Wer weiss wo der Weg von Oxid noch hinführt, andere Systeme sind da momentan weit vorweg gegangen
Gruss
Marcel
Dem würde ich Widersprechen, dann würde jede Abhängigkeit dazu führen, seine Software nicht aktuell zu halten.
Dies sehe ich anders. Im Prinzip betrifft das Kernproblem der Software-Updates alle Shop-Systeme gleichermaßen.
Zusätzlich würde ich die anscheinend wahrgenommene Schwäche anders werten, da sich der E-Commerce Markt zu einen Käufermarkt entwickelt und dabei die großen Plattformen wie Amazon, eBay und die Diversität aller Shopify (Software-as-a-Service) Angebote stark wachsen kann man aus meiner Sicht einen Trend beobachten welcher weg von Shop-Systemen führt die self-hosted sind.
Wobei ich persönlich langfristig von einer Trendumkehr ausgehe, gerade die DSGVO könnte dafür sorgen das Händler*innen welche zu stark von Plattformen abhängig sind sich wieder vermehrt einem self-hosted Shop-System zuwenden.
Wenn Du aber das Paypal Plus Modul nicht mehr einsetzen kannst (als Beispiel) nehmen Deine Zahlungsmöglichkeiten rapide ab. Nicht im Sinne des Erfinders.
Gruss
Marcel