Kreditkartendaten anderer User werden gezeigt

Moin moin,

ich habe mit einem Shop ein Problem. Und zwar haben einige User (bisher nur wenige) nach erfolgtem Login das foglende Problem:

Im Bestellschritt 3 wo die Zahlungsart ausgewählt wird, sind die Kreditkartenfelder automatisch vorausgefüllt. Jedoch mit den Daten anderer User! Mit diversten Testlogins konnte ich dieses Problem nicht sicherstellen, bzw. tauchte nie auf. Aber 2 Kunden haben mich bisher angeschrieben, dass Sie die Kredikartendaten fremder Personen im 3. Bestellschritt automatisch eingetragen sind.

Jedmand dieses Problem schon mal gehabt? Ich nutze 4.1.5_21618.

Für jeden Tipp/Rat wäre ich dankbar.

Welchen Payment Service Provider nutzt du?

keinen, der im system verankert ist. nutze mpay - dort werden die daten dann manuell übertragen, da wenig kreditkartenzahlungen stattfinden… es wurden damals lediglich paypal und sofortüberweisung inkludiert

[QUOTE=1080ms;24214]keinen, der im system verankert ist. nutze mpay - dort werden die daten dann manuell übertragen, da wenig kreditkartenzahlungen stattfinden… es wurden damals lediglich paypal und sofortüberweisung inkludiert[/QUOTE]

Mal unabhängig einer Lösung: Sicher sieht der Vertrag mit Deinem Acquirer vor, daß die Daten nicht manuell verarbeitet werden dürfen. Das kann Dich mit nur einer problematischen Transaktion in den Ruin treiben. Das solltest Du dringend abstellen!

Hallo,

ein ähnliches Problem hätten wir kürzlich auch mit der aktuellen 4.2.0.

Einem Kunden wurden Daten eines fremden Kunden angezeigt. (Was natürlich sehr fatal ist!)

Wirklich nachvollziehen konnten wir das Problem bisher nicht - zumal es unter tausenden Bestellungen erst einmal vorgekommen ist. Einzigster Anhaltspunkt war das beide Zugriffe über einen Aol Proxy erfolgten. Aber eine wirklich Erklärung liefert das natürlich nicht, zumal der Bestellprozess über SSL abgewickelt wird.

Ja, bisher kam es wohl auch erst 2mal vor. Auch jeweils AOL. Aber das kann ja nicht sein. Wäre ja eine fatale Sicherheitslücke. Werde mir dann mal was einfallen lassen.

ich muss dem kollegen von d3 wirklich beipflichten und seine warnung bekräftigen: speichere KEINE daten in deinem shop. das kann dir [U]wirklich[/U] sehr gefährlich werden.

das ist ja das interessante. die kreditkartendaten werden nicht gespeichert. in den einstellungen ist dieser punkt auch deaktiviert und auch in der sql werden die daten nicht gespeichert. diese werden lediglich in der bestellmail übermittelt.

und DU siehst diese in Klarschrift und DAS ist eben das “teure” daran.

das ist ja das interessante. die kreditkartendaten werden nicht gespeichert. in den einstellungen ist dieser punkt auch deaktiviert und auch in der sql werden die daten nicht gespeichert. diese werden lediglich in der bestellmail übermittelt.

aber maskiert oder? wenn nicht hast du ein problem und solltest schleunigst irgendjemanden konsultieren der dieses problem behebt. kein stundensatz keiner firma ist so hoch wie die kosten die auf dich zukommen wenns probleme gibt.

[QUOTE=1080ms;24235]das ist ja das interessante. die kreditkartendaten werden nicht gespeichert. in den einstellungen ist dieser punkt auch deaktiviert und auch in der sql werden die daten nicht gespeichert. diese werden lediglich in der bestellmail übermittelt.[/QUOTE]

Das riecht doch dann danach, daß die Daten irgendwo im PHP-Variablen-Cache hängenbleiben [Wenn dem so wäre, müßten aber in Freiburg die Alarmglocken losgehen, wenn’s denn an Oxid liegt…]

Vielleicht von einem zuvor abgebrochenen Bestellvorgang?

Hi,

[QUOTE=oxal;24289]Das riecht doch dann danach, daß die Daten irgendwo im PHP-Variablen-Cache hängenbleiben [Wenn dem so wäre, müßten aber in Freiburg die Alarmglocken losgehen, wenn’s denn an Oxid liegt…]
[/QUOTE]

Klar. Aber nicht, wenn es nur in Verbindung mit einem Modul / dem AOL-Proxi auftritt. Übrigens, falls ein solcher Verdacht besteht, steht hier, wie man uns schnell und sicher informieren kann:

Im Forum besteht immer die Gefahr, dass es überlesen wird.

Danke und Gruß

Hallo,

ich muss meine vorherige Aussage leider teilweise revidieren und habe angestossen, dass wir uns das Thema mit hoher Priorität anschauen.

Gruß

Hallo nochmal,

ich hab dazu einen Bug aufgemacht und um beschleunigte Bearbeitung sowie Bekanntgabe der Lösung gebeten
https://bugs.oxid-esales.com/view.php?id=1686

Gruß

[QUOTE=1080ms;24235]das ist ja das interessante. die kreditkartendaten werden nicht gespeichert.[/QUOTE]
Ich könnte mir vorstellen dass die komplette Seite mit den Kreditkartendaten vom Proxy gecached wird. Wenn man im Demoshop Zahlungsart Kreditkarte wählt, eine Nummer eingibt und dann von Schritt 4 zu Schritt 3 wechselt, erscheint die Seite mit bereits ausgefüllten Kreditkartendaten und kann so vom Proxy gecached werden (falls kein SSL benutzt wird).

Das kann eigentlich nur ein Proxy sein, der das verursacht, da OXID selbst ja keine Seiten cached…

Um das Proxiy-Caching zu verhindern, könnte man die folgenden META-Tags in die “Header”-Section der “_header.tpl” einfügen:

<META HTTP-EQUIV="EXPIRES" CONTENT="0">
<META HTTP-EQUIV="CACHE-CONTROL" CONTENT="no-cache">
<META HTTP-EQUIV="PRAGMA" CONTENT="no-cache">

Meiner Ansicht nach sollten die Kreditkartendaten gar nicht erst ausgegeben werden. Ob sich der Proxy an die Metatags hält kann ja nicht garantiert werden.

@avenger
So weit ich das erkenne, stehen ja im Header bereits die korrekten Anweisungen:

Expires Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma no-cache

Gibt es wirklich Proxy die zwar den Header ignorieren, sich dann aber an META-Tags halten?

Hallo,

der zugehörige Bug wurde gefixt. Im Bug selbst steht, wie man das Problem umgehen kann:
https://bugs.oxid-esales.com/view.php?id=1686

Gruß

Der Bugeintrag steht ja jetzt auf resolved durch hinzufügen der session.cache_limiter Direktive. Die vorgeschlagene Einstellung ist allerdings bereits die Defaulteinstellung von PHP. Zumindest in der Vergangenheit hat sich der AOL-Proxy offenbar nicht an diese Header gehalten: AOL Browser Woes - iBlog - Ilia Alshanetsky

However, it seems doc writers at AOL are not quite aware of the code, because the reality of the situation is that if you specify “no-cache” proxy will almost always cache the page.

Das Problem dass die Kreditkartendaten angezeigt werden wenn der Benutzer Step 3 erneut aufruft besteht immer noch. Außerdem werden die Kreditkartendaten anscheinend in der Session gespeichert, obwohl im Admin steht “Üblicherweise ist in den Verträgen mit MasterCard und VISA die Speicherung der Daten ausdrücklich verboten” und der Haken für die Speicherung nicht gesetzt ist.