Falsche Kundenadresse

[Nordlicht]

Es ist jetzt schon 2 mal vorgekommen, das ein Kunde bestellt hat und als er sich anmelden wollte, war er pl?tzlich mit den Daten des letzten Kunden angemeldet!

Er bestellt also mit den Kundendaten von der letzten Bestellung!

Woran liegt das??

F?r den Datenschutz nicht die ideale L?sung!

[Guest HHGAG]

K?nnte am Cache liegen.

[Nordlicht]

cache benutzen = false

also kann eigentlich nichts im cache stehen.

[Guest HHGAG]

Hast Du mal geguckt, ob er den richtigen Addressbook-ID Eintrag hat???

[mzanier]

sowas kommt nur vor, wenn man zb artikeln auf der startseite mit fester Sesion ID verlinkt.

andere m?glichkeit gibt es nicht, da dies ?ber die session gesteuert wird.

[Nordlicht]

Ich habe aber keine Artikel auf der Startseite verlinkt!!!

Und es kommt trotzdem vor!

[mzanier]

programmiertechnisch unm?glich.

die kundennummer wird in der session gespeichert, eine weitergabe der session an einen anderen user ist unm?glich (au?er du hast einen sehr unsicheren server welcher aus unerkl?rlichen gr?nden einem anderen user diese session gibt)

solch ein fall kann nur auftreten, wenn man irgendwo links (zb sumas) mit sessions einbaut, anders kann dieses problem NICHT auftreten.

[Nordlicht]

Das Problem ist aber schon 2 mal aufgetreten und es wurde nichts eingebaut! Es l?uft die original-Version RC1.2

cache ist aus und auf der Startseite ist kein Artikel verlinkt!

Ich selbst habe mich vor kurzem in den Shop eingew?hlt und mich gewundert das ein Artikel im Warenkorb war! Als ich diesen anklickte und zur Kasse ging, wurde auch der letzte Kunde angezeigt! Nur hier habe ich mir noch nichts dabei gedacht!

Jetzt habe ich von 2 Kunden eine Mail bekommen das unter Ihrem Namen eine andere Bestellung get?tigt wurde. Und das noch mit Lastschrift! Wenn bei uns nicht alles noch einmal in eine Warenwirtschaft ging, w?re das ein grosses Problem.

Aber nichts zu trotz, der Kunde bekommt die Daten von einem anderen Kunden zugeschickt! Hier wird also der Datenschutz verletzt!

Der Fehler muss also im System sein!

[mzanier]

Der Fehler muss also im System sein!

wie bereits gesagt, programmiertechnisch unm?glich, au?er der server ist unsicher, und vergibt session IDS 2 malig, da musst du den fehler am server suchen.

im system liegt definit kein fehler vor, ist auch gar nicht m?glich im shop bei sessions.

technisch nur m?glich im Admni bereich eine andere session zu erwischen (bei who is online).

das einzige was du tun kannst ist im admin den IP check f?r sessions aktivieren, und deinen hoster kontaktiere warum sessions mehrmalig vergeben werden. (eventuell bug in einzelen php evrsionen, m?sstest mal googlen)

[Nordlicht]

Ich habe mich hier jetzt schon recht gut durch die Foruminhalte gelesen,

was mir auff?llt ist, das wichtige Fehler niemals beim Programierer liegen!

Wenn nichts mehr geht heisst es der Server ist schuld!

Das ist hier kein Einzelfall, das kommt sehr oft vor!

Unser Server steht in unserem eigenen Rechenzentrum und da laufen eine Menge Programme fehlerlos.

Wenn ich das aber hier so lese, m?ssen alle Provider ihre Server nach XT ausrichten. Normal ist es umgekert!

Es w?re mal eine gute Sache wenn auch die Programierer mal einen Fehler zugeben w?rden und daran arbeiten das es auf allen Servern l?uft!

Ich weiss, auf Ihrem Server l?uft alles und das ist f?r Sie eigentlich der Masstab!

F?r einen guten Programierer sollte aber der Masstab wo anderst liegen!

[Nordlicht]

So, diese Mail habe ich gerade bekommen. Fall Nr. 3 in kurzer Zeit!

Alles in den Klammern habe ich aus Datenrechtlichen Gr?nden hier ver?ndert!

Bestell-Nr. 354

(Hier steht der Artikel)

GUten Tag,

ich habe soeben obige (Artikel) bei Ihnen bestellt, und mir die Bestellung ausgedruckt.

Zun?chst ist mir aufgefallen, dass die Datenfelder alle mit den Angaben von (Herrn.........) ... gef?llt waren. Ich habe diese in der Versandadresse und in der Rechn.-adresse gel?scht und mit meinen Angaben ersetzt.

Jetzt steht auf dem ausgedruckten Bestellnachweis immer noch die Adresse von (Herrn XXXXXXX, Strasse PLZ Wohnort)

K?nnen Sie dies bitte entfernen.

Richtig ist (Frau XXXXXXX, Strasse, PLZ Wohnort).

Warum bekomme ich von jemand anderes die Daten??

Gru?

(Name)

Das ist die Original-Mail welche ich erhalten habe! Wo ist jetzt bei der Software der Datenschutz??

[mzanier]

Wo ist jetzt bei der Software der Datenschutz??

bitte nochmals meine postings der reihe nach komplett durchlesen..

[mzanier]

Ich habe mich hier jetzt schon recht gut durch die Foruminhalte gelesen,

was mir auff?llt ist, das wichtige Fehler niemals beim Programierer liegen!

Wenn nichts mehr geht heisst es der Server ist schuld!

bist du programmier ? verstehst du was von php, sessions ?

dann kannst dar?ber nicht urteilen.

Das ist hier kein Einzelfall, das kommt sehr oft vor!

die w?ren ? bitte mit links.

Es w?re mal eine gute Sache wenn auch die Programierer mal einen Fehler zugeben w?rden und daran arbeiten das es auf allen Servern l?uft!

darum ist der BUGTRACKER auch ?ffentlich, hier wird kein software fehler verheimlicht. das das system auf allen systemen l?uft ist unm?glich, dies ist kein g?stebuchscript, sondern ein komplexes e-commerce system welches hohe anforderungen stellt.

Ich weiss, auf Ihrem Server l?uft alles und das ist f?r Sie eigentlich der Masstab!

nicht wirklich.

mein ma?stab sind 98% der community, vergleichbare systeme erreichen nichtmals 60% (zb scheitern an register_globals=off).

nat?rlich bin ich daran interessiert fehler zu beheben, doch ich weiss wann/wo ein fehler liegt, und was ?berhaupt im system unter normalen umst?nden auftreten kann.

verheimlicht oder unter den tisch gekehrt wird hier nichts.

[mzanier]

vorallem im sessionbereich kann man vom system her nichts machen, denn die sessions werden von PHP vergeben, und wenn XTC die ID in die session schreibt, dann ist es nur m?glich das ein kunde X, von php die gleiche session zugeteilt bekommt (oder eine kopie davon [alles schon vorgekommen, sonst w?rd ich es nicht sagen]), wo die ID vom alten kunden enthalten ist, wenn hier etwas nicht ganz rund l?uft.

nur dann ist solch ein fehlerschema m?glich.

nicht nur in xtc gibs bugs, sondern auch in php versionen etc, die auch nicht bei jedem system auftreten.

[DME2008]

Hallo Liebes XTC Team,

ich bin auf diesen Beitrag von Nordlicht gestoßen, da wir genau das selbe

Problem haben. Ich möchte das Thema gerne noch einmal aufgreifen um die Problematik bei uns zu beheben.

Wir verschicken regelmäßig Newsletter über Teamletter.de,

dort bieten wir verschiedene Artikel an, die wir in dem Newsletter verlinken.

In der Regel wird die Abbildung sowie ein extra Button verlinkt.

Wir sind auch der Meinung, dass dieses Problem nur auftritt, wenn unsere Kunden über diesen Newsletter bestellen.

xt:mzanier hatte geschrieben:

sowas kommt nur vor, wenn man zb artikeln auf der startseite mit fester Sesion ID verlinkt.

andere m?glichkeit gibt es nicht, da dies ?ber die session gesteuert wird.

programmiertechnisch unm?glich.

die kundennummer wird in der session gespeichert, eine weitergabe der session an einen anderen user ist unm?glich (au?er du hast einen sehr unsicheren server welcher aus unerkl?rlichen gr?nden einem anderen user diese session gibt)

solch ein fall kann nur auftreten, wenn man irgendwo links (zb sumas) mit sessions einbaut, anders kann dieses problem NICHT auftreten.

Was genau heißt das?

Können wir keine Newsletter mehr schreiben wo wir unsere Artikel verlinken können?

Wenn nicht, wie machen das andere Firmen von dennen wir ebenfalls Newsletter bekommen über Teamletter.de wo Artikel verlinkt sind, die auch ein

XTC-Shop besitzen?

Oder gibt es eine andere Möglichkeit?? Der Beitrag ist ja aus dem Jahr 2004.

Wir würden uns feuen, wenn uns jemand helfen würde wie wir dieses Problem beheben könnten bzw. welche Links man verwenden kann damit dies nicht passiert.

VG

DME2008

[viewsion]

Also - hier möchte ich mich auch mal einklinken... wir haben genau das gleiche Problem und stochern schon seit einiger Zeit im Dunkeln. Etwa einmal die Woche (bei ca. 300 Bestellungen) kommt es es vor dass irgendwie die Sessions von Kunden vertauscht oder übernommen werden. irgendwelche Links mit Session IDs kann es nicht geben da wir von Anfang an konsequent mit suchmaschinenfreundlichen URLs gearbeitet haben. Die Session ID taucht in keiner URL auf.

Wenn es am Server liegen sollte, wäre es hilfreich in dieser Richtung mal was zu erfahren... gibt es evtl. bekannte Fehler in PHP-Versionen oder Einstellungen? Wo und wie soll man da ran? Unser Shop läuft auf einem absoluten Standard-Server wo auch noch viele andere Sachen gehostet sind und problemlos laufen.

Fakt ist jedenfalls dass es diese Probleme gibt. Einfach zu sagen "das kann nicht sein - muss am Server liegen" ist schon etwas sehr wenig.

Wir hatten die Einstellung "Checken der IP Adresse" bei Sessions mal aktiv - da waren die Probleme weg. Leider können wir das aber nicht mehr machen weil sonst unser Payment Gateway (Kreditkarte) nicht mehr funktioniert.

Es muss doch eine Möglichkeit geben der Sache auf den Grund zu gehen...

Was mir beim Durchsehen der Datenbank aufgefallen ist.. in der Tabelle "sessions" stehen ein paar seltsame sesskeys wie: "XTCsid", "function.require", "function.main"... anstelle von z.B. "47443e02bedaf84b76c7ae094b469799". Wie kommt es dazu? irgendwie komisch, oder?

[viewsion]

Sorry Leute - der Support ist hier leider unter aller S... - das war auch nicht anders als ich letztes Jahr noch dafür bezahlt habe.

Ich bin inzwischen zu Magento gewechselt und hoffe dass ich bald alle meine alten XTC Shops auf Magento umgestellt habe. XTC Ist im Vergleich dazu ein buggy zusammengeflicktes Spaghetti-Code System. Wenn man sich nur mal irgendwelche Erweiterungen dafür ansieht... ein Graus für jeden Programmierer. Die Installationensanleitungen dafür sind eher Hack-Anleitungen und gehen normal von einem XTC im "Originalzustand" aus - nix als Ärger wenn ein System schon diverse Erweiterungen und Anpassungen hat.

Egal - ich will nicht weiter schimpfen... es gibt halt inzwischen Alternativen die um längen besser sind. Die neue kommerzielle Version (Veyton) werd ich mir sicher auch nicht mehr antun...

[smac5]

Gibt es in dieser Sache neue Erkenntnisse?

Wir haben genau das gleich Problem. Der Kunde geht zur Kassa und ist als ein anderer Kunde eingeloggt - und bestellt auf dessen Rechnung - das geht natürlich nicht.

Würde mich freuen, wenn schon jemand wüßte, wo das Problem liegt und eine Lösung hätte.