Trusted Shop Sicherheitscheck erschreckend

Hallo, habe bei Trusted Shop ein Sicherheitscheck durchgeführt und leider durchgefallen. Wie kann man sein Shop sicherer machen?

  1. Passwort
    7 von 10 Punkten

  2. Brute-Force
    10 von 10 Punkten

  3. Cross-Site-Scripting (XSS)
    0 von 10 Punkten

  4. SQL-Injektion
    0 von 10 Punkten

  5. Version
    10 von 10 Punkten

GESAMTERGEBNIS
27 von 50 Punkten

http://www.trustedshops.de/shopbetreiber/security-check.html

Hallo Nealite,

dazu bräuchte es ein paar mehr Informationen, z.B., welche Version des Shops Du benutzt. In der Vergangenheit gab es einige Security Bulletins - mit einem Update auf die aktuelle 4.3.2 kannst Du zumindest 20 Pünktchen mehr erreichen.

Gibt es noch genauere Informationen zum Punkt 1?

Gruß

TrustedShops möchte noch eine größere Mindestlänge (8 Zeichen) und das Erzwingen von Sonderzeichen im Passwort.

Hi,

tja - da stossen wir wieder auf philosophische Probleme: Meines Empfindens ist so etwas nicht besonders im Sinne von Usability - welcher Shopbetreiber tut seinen Kunden so etwas freiwillig an? Meiner Meinung nach liegt das im Ermessen jedes einzelnen Kunden, wie er mit seinen Internetpasswörtern umgeht.

Gruß

[QUOTE=nealite;32243]Hallo, habe bei Trusted Shop ein Sicherheitscheck durchgeführt und leider durchgefallen. Wie kann man sein Shop sicherer machen?
[/QUOTE]
Dieser Test bietet allenfalls Anhaltspunkte und man darf auch nicht vergessen, das TS ja auch sein Produkt verkaufen will. Das ist im Bereich Virenscanner oder Security-Tools ja ähnlich. Da wird auch mit der Angst der Kunden gespielt…

[QUOTE=nealite;32243]
4. SQL-Injektion
0 von 10 Punkten
[/QUOTE]
Hier hast du den Test scheinbar nicht richtig durchgeführt. Der Shop sollte daraufhin eine korrekte Fehlermeldung absetzen.

SQL-Injection wird überhaupt nicht abgefragt - da werden einfach pauschal 0 Punkte vergeben.

Ähh, da steht folgende Aufgabe:

Wird die Eingabe der Produktanzahl entsprechend validiert? Geben Sie beispielsweise die Zeichenfolge '– ein. Wie verhält sich die Anwendung?

Die muss man dann beanworten…

Die “richtige” Antwort ist sogar vorausgewählt.

Also heisst es keine ernsthaften Sorgen machen? J a Punkt 1 ist net so tragisch, das blöde fand ich bei 3 und 4. Man musste ja darauf antworten was auf seinem Shop passierte und das was passiert war hab ich angegeben, daher auch so eine bewertung.

Also liebe leute, nicht durchdrehen und denken der shop wäre gefährdet was sicherheitsfragen angeht - ich habe gerade verschiedenste XSS und SQL Injection Szenarien getestet und es ging überhaupt nichts durch. Da will trusted einfach nur sein Produkt verkaufen, mehr nicht - einen richtigen Sicherheitsaudit macht man auch nicht eben mal mit einem 5 fragen formular.