OXID prüft ungefragt auf neue Modulversionen


#1

Hallo zusammen,

wir haben gerade festgestellt, daß OXID bei jedem Login in den Admin-Bereich auf neuere Modulversionen prüft.

Dies hat zur Folge, daß der OXID-Login je nach Verbindung zu den OXID-Servern recht langsam ist. Außerdem haben wir hier Datenschutzbedenken, da dies ungefragt standardmässig passiert und alle installierten Module sowie die URLs, auf denen der Shop läuft, an https://omvn.oxid-esales.com/check.php übermittelt.

Das Verhalten kann abgestellt werden, indem in oxsystemeventhandler.php die Zeile

$this->getOnlineModuleVersionNotifier()->versionNotify();

entfernt oder auskommentiert wird.

Aus Datenschutzgründen empfehlen wir OXID eSales AG dringend, diese Funktion zum einen per Default abgeschaltet auszuliefern und zum anderen den Benutzer vor dem Einschalten ausführlich darüber zu informieren, welche Daten übertragen werden.

Grüße
Timo


#2

Kann man ganz einfach unter Einstellungen - Adminsitrationsbereich abschalten


#3

[QUOTE=Bastelfex;177901]Kann man ganz einfach unter Einstellungen - Adminsitrationsbereich abschalten[/QUOTE]

Nein, eben nicht. Die Übermittlung der Daten findet in jedem Fall statt.


#4

Hallo Timo,
du hast recht. Ein Aufruf findet immer statt und man kann Ihn im Administrationsbereich nicht abstellen.

Grüße
Rafig


#5

Bei mir steht oberhalb des Codes…

// Checks if newer versions of modules are available.
// Will be used by the upcoming online one click installer.
// Is still under development - still changes at the remote server are necessary - therefore ignoring the results for now

Also was zukünftiges??? @Marco?

LG Pasquale


#6

[QUOTE=vendingtechnik;177905]Also was zukünftiges??? @Marco?
[/QUOTE]

Morgen,

ich bin zwar nicht Marco aber ich vermute stark das es in nahe Zukunft OXID eigener und eventuell gekaufte Module aus Exchange mit einem klick aktualisiert werden soll falls der Entwickler die bei Exchange zur Verfügung stellt.

Grüße
Rafig


#7

Das wäre in dieser Art und Weise aber ein NoGo, da man sich so seinen Admin lahmlegen kann ohne etwas dafür zu können. Wenn der Exchange down ist, kann ja keiner mehr in den Admin (ohne den Timeout abzuwarten?). Ab welcher Version ist denn das drin?

Die Lösung wäre dann ja ähnlich grausam, wir das ehemalige eFire. Nur dass man darauf leicht verzichten konnte.

cya


#8

Das mit der Exchange und Fremd-Modulen war NUR eine Vermutung von mir.

Ich glaube eher OXID eigener Module wie Paypal und Paymorrow mit dieser Funktion installieren und aktualisieren wird.

Ich würde sagen wir warten einfach mal ab.

Grüße
Rafig


#9

Hallo Leute,

das hab ich jetzt grad gelesen und sage morgen etwas Genaueres dazu.

Gruß


#10

Das gibt’s tatsächlich schon sehr lang: https://bugs.oxid-esales.com/view.php?id=5712

Unabhängig davon dass der Admin lahmgelegt wird wenn der Aufruf fehlschlägt, es werden ja nicht nur ID’s und Versionsstände von Oxid-Modulen an Oxid übermittelt, sondern auch die von Drittanbietern oder von selbst programmierten Modulen, und die Shop-Url, und das selbst wenn beim Setup “Verbindung mit den OXID Servern erlauben” deaktiviert wurde. Das sollte sofort geändert werden.


#11

Das ist schon eine Weile her, dass Du was dazu sagen wolltest, Marco. :wink:


#12

Meines Wissens ist es so, dass man in einer CE explizit zustimmen muss, dass Daten an OXID-Server übertragen werden. Ansonsten macht die das auch nicht.

In den kommerziellen Produkten PE und EE ist das über den Lizenzvertrag geregelt.