Trusted Shop Sicherheitscheck erschreckend

nealite · May 28, 2010, 9:38am

Hallo, habe bei Trusted Shop ein Sicherheitscheck durchgeführt und leider durchgefallen. Wie kann man sein Shop sicherer machen?

Passwort
7 von 10 Punkten
Brute-Force
10 von 10 Punkten
Cross-Site-Scripting (XSS)
0 von 10 Punkten
SQL-Injektion
0 von 10 Punkten
Version
10 von 10 Punkten

GESAMTERGEBNIS
27 von 50 Punkten

http://www.trustedshops.de/shopbetreiber/security-check.html

marco.steinhaeuser · May 28, 2010, 10:37am

Hallo Nealite,

dazu bräuchte es ein paar mehr Informationen, z.B., welche Version des Shops Du benutzt. In der Vergangenheit gab es einige Security Bulletins - mit einem Update auf die aktuelle 4.3.2 kannst Du zumindest 20 Pünktchen mehr erreichen.

Gibt es noch genauere Informationen zum Punkt 1?

Gruß

clabo · May 28, 2010, 10:59am

TrustedShops möchte noch eine größere Mindestlänge (8 Zeichen) und das Erzwingen von Sonderzeichen im Passwort.

marco.steinhaeuser · May 28, 2010, 11:03am

Hi,

tja - da stossen wir wieder auf philosophische Probleme: Meines Empfindens ist so etwas nicht besonders im Sinne von Usability - welcher Shopbetreiber tut seinen Kunden so etwas freiwillig an? Meiner Meinung nach liegt das im Ermessen jedes einzelnen Kunden, wie er mit seinen Internetpasswörtern umgeht.

Gruß

ChristophH · May 28, 2010, 11:06am

[QUOTE=nealite;32243]Hallo, habe bei Trusted Shop ein Sicherheitscheck durchgeführt und leider durchgefallen. Wie kann man sein Shop sicherer machen?
[/QUOTE]
Dieser Test bietet allenfalls Anhaltspunkte und man darf auch nicht vergessen, das TS ja auch sein Produkt verkaufen will. Das ist im Bereich Virenscanner oder Security-Tools ja ähnlich. Da wird auch mit der Angst der Kunden gespielt…

[QUOTE=nealite;32243]
4. SQL-Injektion
0 von 10 Punkten
[/QUOTE]
Hier hast du den Test scheinbar nicht richtig durchgeführt. Der Shop sollte daraufhin eine korrekte Fehlermeldung absetzen.

clabo · May 28, 2010, 11:18am

SQL-Injection wird überhaupt nicht abgefragt - da werden einfach pauschal 0 Punkte vergeben.

ChristophH · May 28, 2010, 11:23am

Ähh, da steht folgende Aufgabe:

Wird die Eingabe der Produktanzahl entsprechend validiert? Geben Sie beispielsweise die Zeichenfolge '– ein. Wie verhält sich die Anwendung?

Die muss man dann beanworten…

Die “richtige” Antwort ist sogar vorausgewählt.

nealite · May 28, 2010, 1:44pm

Also heisst es keine ernsthaften Sorgen machen? J a Punkt 1 ist net so tragisch, das blöde fand ich bei 3 und 4. Man musste ja darauf antworten was auf seinem Shop passierte und das was passiert war hab ich angegeben, daher auch so eine bewertung.

aggrosoft · May 28, 2010, 2:24pm

Also liebe leute, nicht durchdrehen und denken der shop wäre gefährdet was sicherheitsfragen angeht - ich habe gerade verschiedenste XSS und SQL Injection Szenarien getestet und es ging überhaupt nichts durch. Da will trusted einfach nur sein Produkt verkaufen, mehr nicht - einen richtigen Sicherheitsaudit macht man auch nicht eben mal mit einem 5 fragen formular.