Passwort Handling wurde spätestens mit 6.2 Serie geändert Configure password hashing — OXID eShop developer documentation 6.2.0 documentation und genauer seit 2. August 2019 über Release Version 6.4.0 des OXID Community Frameworks wenn man ins Changelog schaut https://github.com/OXID-eSales/oxideshop_ce/blob/master/CHANGELOG.md#640---2019-08-02 unter Added
- Interface:
\OxidEsales\EshopCommunity\Internal\Domain\Authentication\Bridge\PasswordServiceBridgeInterfaceas the new default for hashing passwords. See https://docs.oxid-esales.com/developer/en/6.2/project/password_hashing.html
Fazit ab der OXID eShop Community Edition Version 6.2.0 https://github.com/OXID-eSales/oxideshop_metapackage_ce/blob/v6.2.0/composer.json#L29 welche am 31. März 2020 released wurden ist Releases — OXID eSales Documentation.
Gab hier im Forum auch mal einen Thread dazu Password salt in the column OXPASSWORD
Dies wäre halt die Frage ob MD5 noch Stand der Technik wäre, laut Die Landesbeauftragte für den Datenschutz Niedersachsen (nicht Gerichtsurteil, es handelt sich um verhängtes Bußgeld) anscheinend nicht. Gerade bei Zahlungsanbietern ist durch die PSD2 die Zwei-Faktor-Authentifizierung Stand der Technik.
Weitere Infos unter Beschwerden zu Datenschutzverstößen und Komplexität von Verarbeitungsprozessen nehmen weiter zu | Der Landesbeauftragte für den Datenschutz Niedersachsen
Update Hier sollte man technisch anmerken, dass MD5 ohne Salt verwendet wurden ist. Bei älteren OXID eShop Versionen kommt ein Salt zum Einsatz. Seit OXID eShop Community Edition Version 4.7.14 wurde bereits MD5 gegen SHA-2 getauscht OXID eShop 4.7.14/5.0.14 — OXID eShop 4&5 | Anwenderdokumentation
Dies sehr vielschichtig, OXID eShop Community Edition baut z.B. auf Symfony Components auf welche auch aktualisiert werden wollen. Im Prinzip jedes Softwarepaket welches im Shop genutzt wird sei es im Framework oder über ein Modul sollte regelmäßig aktualisiert und geprüft werden.
Ja, erfreulicherweise wurden Symfony Components endlich aktualisiert. Mehr Infos unter Releases — OXID eSales Documentation
Nicht das ich wüsste. Ich habe ihn mir Lokal einmal über die Konsole installiert.
Wichtigste Neuerungen sind:
- Module wandern fast ausschließlich ins Vendor Verzeichnis
- Assets Management für CSS und JavaScript Dateien
- Newsletter Versand Funktion verschwindet, man kann allerdings eine CSV Datei der Newsletter Abonnenten herunterladen
- Trackinglinks sind pro Versandart möglich (endlich)