OXID prüft ungefragt auf neue Modulversionen

PartKeepr · February 19, 2016, 2:45pm

Hallo zusammen,

wir haben gerade festgestellt, daß OXID bei jedem Login in den Admin-Bereich auf neuere Modulversionen prüft.

Dies hat zur Folge, daß der OXID-Login je nach Verbindung zu den OXID-Servern recht langsam ist. Außerdem haben wir hier Datenschutzbedenken, da dies ungefragt standardmässig passiert und alle installierten Module sowie die URLs, auf denen der Shop läuft, an https://omvn.oxid-esales.com/check.php übermittelt.

Das Verhalten kann abgestellt werden, indem in oxsystemeventhandler.php die Zeile

$this->getOnlineModuleVersionNotifier()->versionNotify();

entfernt oder auskommentiert wird.

Aus Datenschutzgründen empfehlen wir OXID eSales AG dringend, diese Funktion zum einen per Default abgeschaltet auszuliefern und zum anderen den Benutzer vor dem Einschalten ausführlich darüber zu informieren, welche Daten übertragen werden.

Grüße
Timo

Bastelfex · February 19, 2016, 3:09pm

Kann man ganz einfach unter Einstellungen - Adminsitrationsbereich abschalten

PartKeepr · February 19, 2016, 7:02pm

[QUOTE=Bastelfex;177901]Kann man ganz einfach unter Einstellungen - Adminsitrationsbereich abschalten[/QUOTE]

Nein, eben nicht. Die Übermittlung der Daten findet in jedem Fall statt.

OXID-Design · February 19, 2016, 8:40pm

Hallo Timo,
du hast recht. Ein Aufruf findet immer statt und man kann Ihn im Administrationsbereich nicht abstellen.

Grüße
Rafig

vendingtechnik · February 20, 2016, 12:07am

Bei mir steht oberhalb des Codes…

// Checks if newer versions of modules are available.
// Will be used by the upcoming online one click installer.
// Is still under development - still changes at the remote server are necessary - therefore ignoring the results for now

Also was zukünftiges??? @Marco?

LG Pasquale

OXID-Design · February 20, 2016, 7:56am

[QUOTE=vendingtechnik;177905]Also was zukünftiges??? @Marco?
[/QUOTE]

Morgen,

ich bin zwar nicht Marco aber ich vermute stark das es in nahe Zukunft OXID eigener und eventuell gekaufte Module aus Exchange mit einem klick aktualisiert werden soll falls der Entwickler die bei Exchange zur Verfügung stellt.

Grüße
Rafig

Firefax · February 20, 2016, 11:26am

Das wäre in dieser Art und Weise aber ein NoGo, da man sich so seinen Admin lahmlegen kann ohne etwas dafür zu können. Wenn der Exchange down ist, kann ja keiner mehr in den Admin (ohne den Timeout abzuwarten?). Ab welcher Version ist denn das drin?

Die Lösung wäre dann ja ähnlich grausam, wir das ehemalige eFire. Nur dass man darauf leicht verzichten konnte.

cya

OXID-Design · February 20, 2016, 11:40am

Das mit der Exchange und Fremd-Modulen war NUR eine Vermutung von mir.

Ich glaube eher OXID eigener Module wie Paypal und Paymorrow mit dieser Funktion installieren und aktualisieren wird.

Ich würde sagen wir warten einfach mal ab.

Grüße
Rafig

marco.steinhaeuser · February 21, 2016, 10:42pm

Hallo Leute,

das hab ich jetzt grad gelesen und sage morgen etwas Genaueres dazu.

Gruß

leofonic · February 22, 2016, 12:22pm

Das gibt’s tatsächlich schon sehr lang: https://bugs.oxid-esales.com/view.php?id=5712

Unabhängig davon dass der Admin lahmgelegt wird wenn der Aufruf fehlschlägt, es werden ja nicht nur ID’s und Versionsstände von Oxid-Modulen an Oxid übermittelt, sondern auch die von Drittanbietern oder von selbst programmierten Modulen, und die Shop-Url, und das selbst wenn beim Setup “Verbindung mit den OXID Servern erlauben” deaktiviert wurde. Das sollte sofort geändert werden.

matths · January 17, 2019, 2:44pm

Das ist schon eine Weile her, dass Du was dazu sagen wolltest, Marco.

marco.steinhaeuser · January 21, 2019, 3:58pm

Meines Wissens ist es so, dass man in einer CE explizit zustimmen muss, dass Daten an OXID-Server übertragen werden. Ansonsten macht die das auch nicht.

In den kommerziellen Produkten PE und EE ist das über den Lizenzvertrag geregelt.