Ssl / Schlo? / Fehlermeldung

[ronne]

Bei mir und bei anderen erschien zun?chst das Schlo? bei Wechsel auf SSL nicht. Dann gebastelt und Schlo? erschein aber mit unsch?ner Meldung, dass nun auf eine "unsichere Seite" gewechselt wird.

Meine L?sung:

1. in Login.php folgenden Eintrag verbessern.

// restore cart contents

$_SESSION['cart']->restore_contents();

if (sizeof($_SESSION['navigation']->snapshot) > 0) {

$origin_href = xtc_href_link($_SESSION['navigation']->snapshot['page'], xtc_array_to_string($_SESSION['navigation']->snapshot['get'], array(xtc_session_name())),'SSL');

$_SESSION['navigation']->clear_snapshot();

xtc_redirect(xtc_href_link(FILENAME_ACCOUNT,'','SSL'));

} else {

xtc_redirect(xtc_href_link(FILENAME_DEFAULT,'','SSL'));

}

}

}

}

2. in application_top.php

// set the type of request (secure or not)

$request_type = ($_SERVER["SERVER_NAME"] == 'deine-domain.de') ? 'SSL' : 'NONSSL';

Bei mir l?ufts nun. Varianten im Forum bereits gepostet

Gr??e

Marcus

[Roedig]

Ich habe deine L?sung umgesetzt aber leider ist im IE kein Schloss zu sehen und bei jedem Wechsel auf eine andere Seite erhalte ich die Meldung:

"Diese Seite enth?lt sowohl sichere als auch nicht sichere Objekte. Mchten Sie die nicht sicheren Objekte anzeigen? Ja - Nein - Details"

Das nervt ungemein - und schein mir auch nicht professionell gel?st zu sein - denn im FireFox-Browser is das alles Bestens - Schloss und SSL-Navigation funzen - aber leider haben weit ?ber 90 % der User IE in der Anwendung.

Ich weiss ich soll hier im Forum suchen - L?sung ist schon drin :-) aber nun suche ich schon 3 stunden :-(( Bitte Hilfe.

Danke

[ronne]

Hallo,

bei mir erscheint diese Meldung nur, wenn ich in Admin-Bereich wechsel. Sonst l?uft es. Aktuelle IE Version?

Gr??e

[Guest Abacho]

Hallo,

ich habe auch seit l?ngerem das Problem und finde keine L?sung.

Ich habe mal auf den Seiten der xt-commerce Admins nachgeschaut, ob die das Problem gel?st haben.

Dort erscheint auch kein Schlo?, kein https, kein ssl.

Ich kenne von allen gro?en vertrauensw?rdigen Sites, dass Sicherheitsstandarts eingehalten werden..

Das tut es aber bei oben genannten nicht. Oder ich habe es ?bersehen.

Kann es m?glicherweise sein, dass die Entwickler selber dieses Sicherheitsproblem nicht im Griff haben? Oder kein Wert auf Sicherheitsstandarts legen?

Oder gibt es noch andere Sicherheitsl?sungen?? Jedenfalls w?re ich sehr froh, wenn wir alle gemeinsam eine L?sung finden w?rden.

Die Vertrauensw?rdigkeit jedes einzelnen shops steht und f?llt in Zeiten von Pishing Diskussionen und Verunsicherung der Kunden mit einer einwandfrei funktionierenden software.

Gru?

Abacho

[Guest Abacho]

Zusatzfrage:

gibt es dieses Problem in der neuen Version auch noch oder w?rde ich mir durch den Kauf der neuen Version viel, viel Zeit ersparen?

[mzanier]

SSL funktioniert auf XTC ohne probleme.

Ich habe mal auf den Seiten der xt-commerce Admins nachgeschaut, ob die das Problem gel?st haben.

nicht jeder will ein SSL zertifikat, dort wo es installiert ist, dort funktioniert es auch.

das obige problem ist abh?ngig vom provider, und welche $_SERVER variable zur erkennung der SSL verbindung in der application top verwendet wird.

Oder kein Wert auf Sicherheitsstandarts legen?

nach deinem posting zu urteilen hat dies nichts mit sicherheitsstandart zu tun, snodern allein mit der tatsache ob jemand ein SSL zertifikat kauf oder nicht, xtc unterst?tzt dies, jedoch kaufen wir keine SSL zertifikate f?r die user, deshalb ist der vorwurf wohl etwas unangepasst.

[Guest Abacho]

Hallo Mario,

ich bin bei domainfactory - die haben ein Zertifikat. Ich habe auch nicht den Vorwurf gemacht, dass ihr den Usern keine Zertifikate kauft.

?berdenkenswert finde ich aber, das offensichtlich nicht einmal der Zeit Shop eine SSL hat.

Oder t?usche ich mich?

Jedenfall geht es mir nicht darum Vorw?rfe - Anw?rfe zu machen, sondern auf ein grunds?tzliches Sicherheitsproblem hinzuweisen.

Wenn dabei auch noch f?r alle user, die wie ich dieses "server variable in der applikation top" Problem haben, eine gute L?sung herumkommt, ist allen geholfen.

Aber:

es sind zwei miteinander verwobene unterschiedliche Themen!!

Gru?

Abacho

[Guest Abacho]

Nachtrag:

ich dachte auch mehr an die eigenen Shops der Admins, z.B. der:

http://www.hhgag.com/

Wenn ihr shops f?r andere einrichtet und die Zeitschrift "Die Zeit" sich offensichtlich weigert, ssl zu nutzen, k?nnt ihr nat?rlich nichts machen.

Das ist klar!

[mzanier]

was hat ein shop eines moderators damit zu tun ?

SSL ist kein sicherheitsstandart, SSL f?hrt zu keinen nennenswerten zuwachsen in der kundengewinnung/bestellung (vergleichswerte existieren),

SSL wird von den meisten shopbetreibern nur verwendet da es zb clearing unternehmen oder zertifizierungsunternehmen vorschreiben.

auf das nichtvorhandensein von SSL zertifikaten in shops r?ckzuschlie?en das die entwickler dies nicht beheben k?nnen finde ich schon etwas stichelei, aber das kennt man ja schon von dir.

?ber eine l?sung f?r domainfactory kann gerne im sponsorenbereich besprochen werden, ist nur ne kleine anpassung.

[Guest HHGAG]

Der Shop ist f?r eigene SSL-Zertifikate ausgerichtet und nicht f?r SSL-Proxies.

Da ein Shop eigentlich professionell genutzt werden sollte, sollte auch das Budget f?r ein eigenes SSL-Zertifikat gegeben sein, wenn es notwendig ist.

Ein SSL-Proxy sieht erstens unprofesionell, zweitens um Geiz ist Geil Kunden auch g?nstige Angebote machen zu k?nnen, da ein SSL-Zugang zus?tzlich zum Zertifikat auch eine eigene IP-Adresse ben?tigt was auch wieder Geld kostet, die Kunden mit dieser Moral nicht bezahlen m?chten.

Zu meinem Shop:

Da ich keine Kreditkartentransaktionen halte ist ein SSL-Zertifikat nicht unbedingt als notwendig, aber Budget w?re gegeben

[Guest Abacho]

Ich verstehe also:

1. Es gibt eine L?sung auch f?r das Problem "Domainfactory"

2. Es ist nur eine kleine, schnell erledigte Anpassung

das freut mich sehr und ich hoffe, dass ihr mir dabei helft.

Des weiteren:

Ich spreche das Thema SSL & Sicherheit an, da es zur Zeit gro?e Verunsicherung beim e-commerce (Internet-Kommerz) bei den potenziellen Kunden gibt.

M?glicherweise habt ihr ja Recht, das SSL Benutzung nicht zu mehr Kunden f?hrt, ich glaube allerdings auch nur der Statistik, die ich selbst gef?lscht habe.

Ich hatte gehofft, dass hier Vorschl?ge oder ?berlegungen besprochen werden, welche Alternativen es gibt, welche Erwartungshaltung von Kundenseite, Politik, Gesetzgeber etc. auf Shopbetreiber zukommen.

Wobei es mir nicht um die technische Umsetzung geht sondern um Grunds?tzliche ?berlegungen zum Datenschutz bei Kauf und Verkauf.

Meiner Meinung nach geh?rt das hier hin. Daraus ergeben sich dann m?gliche technische L?sungen.

Einiges eurer Ausf?hrungen verstehe ich nicht - z.B. der Hinweis auf "professioneller Shop" etc. Egal.

Vorschlag von mir: da ich eure Hilfe schon einmal gerne in Anspruch genommen habe - 15 Euro f?r eine kleine Anpassung - schlage ich eine 5 Euro Spende vor f?r die L?sung meines SSL Problems.

?berweisung wie gehabt auf Marios Moneybookers Konto. ich w?rde mich jedenfalls freuen, endlich diese vertrackte Fehlermeldung wegzubekommen.

Gru?

Abacho

@HHAG ich habe bei Anmeldung bzw. Bestellung in deinem Shop ein paar Code-Schnipsel im Anmelde - oder Bestellformular gehabt. Check das doch mal..

[Disaster]

Versuchs mal so , bin mir zwar nicht ganz sicher,

aber ich mein bei dmf w?re es so.

https://sslsites.de/domain/

[Guest Abacho]

@disaster

Danke f?r den Hinweis, ich habe es so eingerichtet. Die Meldung erscheint z.B. wenn ich mich als Kunde einlogge, nicht allerdings, wenn die create account Seite aufgerufen wird.

Gru?

Abacho