ich hatte letztes Wochenende mehrere Bestellungen, die mit einer Masse an nicht ausgegebenen Gutscheincodes bezahlt wurden. Nach internen Recherchen haben wir herausgefunden, dass die betreffende Gutscheindatei im Export-Ordner des Shops lag, der ja ungeschützt auf dem Server liegt. Diese Datei wurde von den Hackern runtergeladen und massiv missbraucht. Da die Hacker über die Refferenzliste von OXID auf meinen Shop gekommen sind, werde ich wohl in diesem Kreis nicht der einzig Geschädigte sein.
Nun sind die Hacker aber noch so dreist und wollen mir Ihre Dienstleistung anbieten und erklären, wie Sie die Codes erhalten haben. Da ich den richtigen Partner für alle Fragen zu meinem Shop habe, sind wir aber auch selbst auf die Lösung und das Problem gestossen.
Wer also betroffen ist und von den Hackern angeschrieben wurde, kann sich das Geld sparen und die betreffenden Dateien einfach aus dem Export Ordner löschen.
Ich frage mich nur, warum es in OXID nicht einen geschützten Export Ordner für alle sensiblen Daten standardmäßig gibt? Es landet ja auch z.B. jeder Adressexport in diesem Ordner. Und das kann nicht im Sinne des Datenschutzes sein. Der offene Ordner ist ja für die Dateien zu Base, Yatego, usw. in Ordnung.
Ich hoffe, dass OXID da nachbessert und künftige sensible Downloads standardmäßig nicht gestattet.
ich hatte letztes Wochenende mehrere Bestellungen, die mit einer Masse an nicht ausgegebenen Gutscheincodes bezahlt wurden. Nach internen Recherchen haben wir herausgefunden, dass die betreffende Gutscheindatei im Export-Ordner des Shops lag, der ja ungeschützt auf dem Server liegt. Diese Datei wurde von den Hackern runtergeladen und massiv missbraucht. Da die Hacker über die Refferenzliste von OXID auf meinen Shop gekommen sind, werde ich wohl in diesem Kreis nicht der einzig Geschädigte sein.
Nun sind die Hacker aber noch so dreist und wollen mir Ihre Dienstleistung anbieten und erklären, wie Sie die Codes erhalten haben. Da ich den richtigen Partner für alle Fragen zu meinem Shop habe, sind wir aber auch selbst auf die Lösung und das Problem gestossen.
Wer also betroffen ist und von den Hackern angeschrieben wurde, kann sich das Geld sparen und die betreffenden Dateien einfach aus dem Export Ordner löschen.
Ich frage mich nur, warum es in OXID nicht einen geschützten Export Ordner für alle sensiblen Daten standardmäßig gibt? Es landet ja auch z.B. jeder Adressexport in diesem Ordner. Und das kann nicht im Sinne des Datenschutzes sein. Der offene Ordner ist ja für die Dateien zu Base, Yatego, usw. in Ordnung.
Ich hoffe, dass OXID da nachbessert und künftige sensible Downloads standardmäßig nicht gestattet.
Schöne Grüße
Markus Lechtenböhmer www.trend-waesche.de[/QUOTE]
Auf jeden Fall ist ja wohl jetzt ein Strafanzeige gegen den/die Besteller fällig…
laut OXID-Team ist das eine “server misconfiguration”, was im klartext bedeutet das die Kunden die htaccess selber hinterlegen sollten.
Ich fänds persönlich besser wenn die datei garnicht erst da landen würde, sondern ausschliesslich übers admin backend ausgegeben werden würde. Das das ein mehr oder minder aufwand wäre umzubauen, ist klar.
laut OXID-Team ist das eine “server misconfiguration”, was im klartext bedeutet das die Kunden die htaccess selber hinterlegen sollten.
Ich fänds persönlich besser wenn die datei garnicht erst da landen würde, sondern ausschliesslich übers admin backend ausgegeben werden würde. Das das ein mehr oder minder aufwand wäre umzubauen, ist klar.[/QUOTE]
Es würde doch eigentlich erst mal genügen, die Exports für Preisvergleichsportale und die anderen (problematischen) in unterschiedliche Verzeichnisse zu exportieren.
Das Verzeichnis mit den problematischen Exports könnte man dann per .htaccess schützen.
Ein OXID-Entwickler sollte so was m.E. locker in 5 Minuten lösen können.
Die Aussage in dem Patch ist natürlich Blödsinn, weil in dem Verzeichnis ja auch die Daten der Preisportale landen, die man ja nicht absichern kann/will.
Wundert mich doch sehr, dass die OXID AG sich bei einem so eklatanten (m.E. relativ einfach zu behebendem und nicht mehr nur theoretischem) [B]Sicherheitsrisiko[/B] dermaßen ziert…
Passt irgendwie gar nicht zu dem in der Keynote des GF der OXID AG auf der OXID Commons dargelegten Zusammenarbeit zwischen der OXID AG und der “Community”.
öhm mmhhhhh warum regt ihr euch denn JETZT darüber auf, das problem ist nicht neu und bereits “vor sehr langer zeit” schon im alten forum bekannt gewesen und auch im alten “dev-blog” für die partner stands drin.
also bei mir hat anzido das bereits in 2006 oder 2007 gelöst - wie weiß ich nicht, da ich nix mit dem programmieren zu tun habe.
[QUOTE=laramarco;12343]öhm mmhhhhh warum regt ihr euch denn JETZT darüber auf, das problem ist nicht neu und bereits “vor sehr langer zeit” schon im alten forum bekannt gewesen und auch im alten “dev-blog” für die partner stands drin.
also bei mir hat anzido das bereits in 2006 oder 2007 gelöst - wie weiß ich nicht, da ich nix mit dem programmieren zu tun habe.[/QUOTE]
oh, nee. das ist zu einfach.
Es gibt vielleicht welche die erst vor 2, 3 oder 6 Monaten zu Oxid gekommen sind.
Und sowas, gehört zur Shopsoftware als Standard, das das vom Hersteller nach bekanntwerden dann DICHT gemacht wird.
[QUOTE=MBa;12348] Sorry, das ist voll übel.[/QUOTE]
Würde eher sagen: grob fahrlässig…
Offenbar ist das Problem, das ja, wie bereichtet, zu [B]konkreten Schäden [/B]für die Shopbetreiber führen kann, schon [B]lange bekannt[/B].
Und dass ein Software-Entwickler seine (damals sogar [B]immer [/B]bezahlenden) Kunden damit so im Regen stehen lässt, ist schlicht nicht akzeptabel.
Anscheinend ist sich die OXID AG auch gar nicht im Klaren darüber, dass sie wegen dieser [B]groben Fahrlässigkeit [/B]evtl. sogar schadensersatzpflichtig werden kann. (Vor allem für die Kunden mit einem Wartungsvertrag.)
Und angesichts von sicher in “Nullkommanix” zu findenden Lösungen auch völlig unverständlich.
Ich benutze selber die Gutscheine nicht, halte aber diesen Zustand für untragbar.
Deshalb habe ich mir das mal ein wenig angeschaut.
Da man im Export das Verzeichnis definieren kann und halt ein öffentliches Verzeichnis voreingestellt ist, wird bei diesen Fix einfach im Template ein anderes Verzeichnis als Standard benutzt.
Ein Verzeichnis Namens ‘export_secure’ anlegen.
Entweder dieses Verzeichnis per htacces schützen oder ausserhalb des Server-Roots legen.
Editieren von /out/admin/tpl/voucherserie_export.tpl:
Währe nett, wenn jemand, der Gutscheine benutzt dies mal richtig durchtestet.
Da ich selber keine benutze kann ich nicht nachvollziehen, ob so nach alles funktioniert.
[QUOTE=MBa;12356]Ich benutze selber die Gutscheine nicht, halte aber diesen Zustand für untragbar.
Deshalb habe ich mir das mal ein wenig angeschaut.
Da man im Export das Verzeichnis definieren kann und halt ein öffentliches Verzeichnis voreingestellt ist, wird hier einfach im Template ein anderes Verzeichnis als Standard benutzt.
Entweder dieses Verzeichnis per htacces schützen oder ausserhalb des Server-Roots legen.
Ein Verzeichnis Namens ‘export_secure’ anlegen. (siehe oben)
Editieren von /out/admin/tpl/voucherserie_export.tpl:
Währe nett, wenn jemand, der Gutscheine benutzt dies mal richtig durchtestet.
Da ich selber keine benutze kann ich nicht nachvollziehen, ob so nach alles funktioniert.[/QUOTE]
Geht doch!
Und so etwas einfaches bekommt die OXID AG (offenbar in Jahren) nicht hin…
Und so etwas einfaches bekommt die OXID AG (offenbar in Jahren) nicht hin…[/QUOTE]
Bitte erst testen,
ich kann wie gesagt nicht alles nachvollziehen…
zB. ob irgendein Mail-Programm welche die Gutscheine autom. versendet, das originale Verzeichnis benötigt… falls es so etwas gibt.
Genau. Das schöpfst Du sicher aus Deinen jahrzehntelangen Erfahrungen
Mal im Ernst: Momentan diskutieren wir natürlich, wie wir einen im ersten Post beschriebenen Missbrauch verhindern können und wie eine vernünftige Lösung für den OXID-Shop aussehen kann. Das oben genannte sieht natürlich sehr einfach und sehr schnell aus, ist aber für die Auslieferung einer Standardsoftware leider nicht tauglich. Letztlich müsste jeder sowieso nochmal an der Konfiguration Hand anlegen.
Ich werde die (technische!) Diskussion jetzt in die dev-general Mailingliste verlagern. Wer von den Entwickler Lust hat mitzudiskutieren, kann sich ja fix noch anmelden: http://www.oxidforge.org/wiki/Mailinglists
noch nicht mal PE3 sondern auch aus 2er Zeiten (falls du damit auf meinen Beitrag ansprichst) denn die hatte ich NIE im Einsatz.
Um nochmal auf meinen Beitrag zurück zu kommen, weil das Problem ja ach so alt ist - meine Antwort bezog sich wie so oft darauf, daß
a) das alte Forum nach wie vor immer noch eine sehr sehr sehr ernstzunehmende und gute Quelle AUCH für neuere “Probleme” ist - daher mein Wunsch nach Integration der alten Postings nach wie vor besteht
und
b) eben nach wie vor man auch dort Lösungen für ALTE Probleme findet, die die meisten “alten Hasen” eben (verständlicherweise) keine Lust haben wieder und wieder neu zu tippen.
[QUOTE=laramarco;12458]
a) das alte Forum nach wie vor immer noch eine sehr sehr sehr ernstzunehmende und gute Quelle AUCH für neuere “Probleme” ist - daher mein Wunsch nach Integration der alten Postings nach wie vor besteht.
[/QUOTE]
@oxid: Kann man nicht hier im Forum einen Link zum alten Forum machen?
Am besten bei den Suchergebnissen. Noch besser direkt mit der entsprechenden Suchanfrage für das alte Forum.
Also wenn in diesen Forum nach [U][I]test[/I][/U] gesucht wurde, einfach folgenden Link am Ende der Ergebnisse anzeigen:
<a href="http://www.oxid-esales.com/de/forum/search.php?do=process&query=test" target="_blank">Das alte Forum mit ihrer Anfrege Durchsuchen</a>
Die URL ist ja eigentlich bis auf das /de/ identisch.
Ich (und ich glaube eine Menge anderer auch) kann das alte Forum hier nirgends finden, nur über google. :eek:
Um nochmal auf meinen Beitrag zurück zu kommen, weil das Problem ja ach so alt ist - meine Antwort bezog sich wie so oft darauf, daß
a) das alte Forum nach wie vor immer noch eine sehr sehr sehr ernstzunehmende und gute Quelle AUCH für neuere “Probleme” ist - daher mein Wunsch nach Integration der alten Postings nach wie vor besteht
und
b) eben nach wie vor man auch dort Lösungen für ALTE Probleme findet, die die meisten “alten Hasen” eben (verständlicherweise) keine Lust haben wieder und wieder neu zu tippen.
das hat aber leider nicht wirklich was mit dem thema zu tun. da kann man ja oxid weiter mit beharken, aber in das thema hier gehört die thematik nicht.
Hier gehts eigentlich um die Sicherheitslücke, und nicht ums alte Forum und wie das integriert werden könnte.
Ich frage mich nur, warum es in OXID nicht einen geschützten Export Ordner für alle sensiblen Daten standardmäßig gibt? Es landet ja auch z.B. jeder Adressexport in diesem Ordner. Und das kann nicht im Sinne des Datenschutzes sein. Der offene Ordner ist ja für die Dateien zu Base, Yatego, usw. in Ordnung.