cs24com Posted August 27, 2011 Report Share Posted August 27, 2011 Hallo zusammen, ich weiß nicht, ob ich jetzt einen Denkfehler habe oder nicht, aber müsste nicht beim Login in den Backend - Bereich das ganze verschlüsselt (SSL) ablaufen? Ich meine, im Frontend werden die Daten des Kunden beim Login / Registrierung doch auch verschlüsselt übertragen!? Wenn das auch für das Backend-Login möglich ist, wo kann ich dies denn einstellen?? THX Alex. EDIT: VEYTON 4.0.13 Wenn ich die entsprechende SSL - Verschlüsselung nutze, wie ich sie im Backend für das Frontend eingestellt habe und mich dann einlogge, bleibt der Backend - Bereich weiß!! Ich habe schon herausgefunden, dass ich einige Angiffe auf den Backendbereich hatte !! Ganz großes Kino! EDIT 2: Im Falle jemand "hackt" den Backend-Bereich aufgrund der fehlenden / nicht möglichen SSL - Verschlüsselung ... wessen Versicherung zahlt dann bei grober Fahrlässigkeit?? Oder hab ich einen weiteren Denkfehler? Link to comment Share on other sites More sharing options...
essenzia Posted February 10, 2012 Report Share Posted February 10, 2012 Du hast keinen Denkfehler, alle Hinweise und Bedenken von Dir sind berechtigt und beschreiben das Problem hinreichend. Schade ist, das sich kein anderer Forist/Forum-Moderator oder xt:Commerce Mitarbeiter der Sache annimmt. Diese Sicherheitsbedenken sind keineswegs unbegründet, man verfolge nur die aktuellen Nachrichten zum Diebstahl von Kundendaten und Identitätsklau. Zur Sache: Ich vermute Du verwendest einen SSL Proxy Deines Providers, um Kundenanmeldungen verschlüsselt zu übertragen. Die Anmeldung am Backend funktioniert nicht über einen solchen SSL-Proxy - z.B. erhalte ich im Backend die Fehlermeldung "login required". Dabei würde es prinzipiell ausreichen, lediglich das Backend-Anmeldeformular verschlüsselt zu übertragen und dann nach der Anmeldung auf die unverschlüsselte URL weiter zu leiten. Die entsprechende Funktionalität befindet sich in einer vom Hersteller codierten Source, also kann dies auch nur vom Hersteller geändert werden. Auf Grund der Erfahrungen hier im Forum wird der Hersteller Dein Problem wenn überhaupt nicht kurzfristig lösen. Das Problem kannst Du aber selbständig lösen, indem Du für Deine Shop-Domain ein SSL Zertifikat kaufst (die meisten Provider bieten das für ihre gehosteten Domains an) und den Shop generell über https betreibst. Dann würden samtliche Aktionen im Shop Front- und Backend verschlüsselt übertragen. Ich denke für Shopbetreiber ist dies die empfohlene Vorgehensweise. Die Haftungsfrage wird sich vermutlich danach richten, welches Lizenzmodell Du nutzt, bei der Community-Edition ist natürlich jegliche Haftung des Herstellers ausgeschlossen. Vielleicht wird sich ja auch ein xt:Commerce Moderator zu diesem Problem äußern. Link to comment Share on other sites More sharing options...
giller Posted February 10, 2012 Report Share Posted February 10, 2012 Hallo zusammen, ich weiß nicht, ob ich jetzt einen Denkfehler habe oder nicht, aber müsste nicht beim Login in den Backend - Bereich das ganze verschlüsselt (SSL) ablaufen? Ich meine, im Frontend werden die Daten des Kunden beim Login / Registrierung doch auch verschlüsselt übertragen!? Wenn das auch für das Backend-Login möglich ist, wo kann ich dies denn einstellen?? THX Alex. EDIT: VEYTON 4.0.13 Wenn ich die entsprechende SSL - Verschlüsselung nutze, wie ich sie im Backend für das Frontend eingestellt habe und mich dann einlogge, bleibt der Backend - Bereich weiß!! Ich habe schon herausgefunden, dass ich einige Angiffe auf den Backendbereich hatte !! Ganz großes Kino! EDIT 2: Im Falle jemand "hackt" den Backend-Bereich aufgrund der fehlenden / nicht möglichen SSL - Verschlüsselung ... wessen Versicherung zahlt dann bei grober Fahrlässigkeit?? Oder hab ich einen weiteren Denkfehler? 1# Also ich habe mir einfach ein Bookmark mit https:/ angelegt und rufe den Admin login so auf sollte bei dir der admin weis bleiben sind deine shop einstellungen falsch mit www oder ohne 2# Müsste das erstmal an die öffentlichkeit kommen. 2 a. Speichert der Shop in der Regel (vorausgesetzt externe zahlungsdienstleister) eh nur sachen der kunden die du dir auch aus einem telefonbuch hollen kannst von tausenden von leuten deshalb verstehe ich auch nicht das ständige geheule der datenschützer nicht. Link to comment Share on other sites More sharing options...
cs24com Posted February 13, 2012 Author Report Share Posted February 13, 2012 Hi, danke für die Antworten. Habe es schon vor Monaten über den Provider geregelt. Und zwar habe ich die Backend-Login-Domain zugangsgeschützt (htaccess) = doppelte Anmeldung mit verschiedenen Zugangsdaten. Also einmal Anmeldung Server und eine weitere für das Backend. Und das Ganze funzt prima. Gruß Alex. Link to comment Share on other sites More sharing options...
essenzia Posted February 16, 2012 Report Share Posted February 16, 2012 @giller Das kannst Du ja Deinen Kunden so erklären - die werden sicherlich Verständnis haben für Spam an ihre E-Mail-Adresse und ihre Bankdaten in fremden Händen. @cs24com Wenn der Backend-URL nicht mit https aufgerufen wird, werden bei der htaccess Authentifizierung Benutzername und Passwort im Klartext (unverschlüsselt) zum Webserver übertragen. Das löst also Dein Problem nur bedingt. Also müsste der Backend-URL über den SSL Proxy aufgerufen werden, dann kommt es aber wieder zu dem o.g. Problem. Ich schreibe es einfach nochmal. ----------------------------------------------------------------------- Dabei würde es prinzipiell ausreichen, lediglich das Backend-Anmeldeformular verschlüsselt zu übertragen und dann nach der Anmeldung auf die unverschlüsselte URL weiter zu leiten. Die entsprechende Funktionalität befindet sich in einer vom Hersteller codierten Source, also kann dies auch nur vom Hersteller geändert werden. ----------------------------------------------------------------------- Link to comment Share on other sites More sharing options...
cs24com Posted February 17, 2012 Author Report Share Posted February 17, 2012 @giller 1# Also ich habe mir einfach ein Bookmark mit https:/ angelegt und rufe den Admin login so auf sollte bei dir der admin weis bleiben sind deine shop einstellungen falsch mit www oder ohne Ich habe es jetzt nochmals versucht nachzumachen: #1 - Bookmark (SSL) angelegt - OK #2 - Admin aufgerufen (SSL) - OK #3 - Einloggen (SSL) - OK ABER nach dem Login bleibt der Bildschirm weiß, da weiterhin die SSL - Verbindung aktiv ist. Und bei dir erscheint der Backendbereich? Lass mich an deinem Wissen teilhaben Gruß Alex Link to comment Share on other sites More sharing options...
giller Posted February 18, 2012 Report Share Posted February 18, 2012 @giller 1# Also ich habe mir einfach ein Bookmark mit https:/ angelegt und rufe den Admin login so auf sollte bei dir der admin weis bleiben sind deine shop einstellungen falsch mit www oder ohne Ich habe es jetzt nochmals versucht nachzumachen: #1 - Bookmark (SSL) angelegt - OK #2 - Admin aufgerufen (SSL) - OK #3 - Einloggen (SSL) - OK ABER nach dem Login bleibt der Bildschirm weiß, da weiterhin die SSL - Verbindung aktiv ist. Und bei dir erscheint der Backendbereich? Lass mich an deinem Wissen teilhaben Gruß Alex Ja bei mir ist der Daten austausch die ganze zeit über ssl du hast warscheinlich falsche einstellungen damit meine ich genau. Shop Titel: Mein geiler Shop.de Shop Domain: www.meinshop.de SSL Domain: www.meinshop.de Url http: http://www.meinshop.de Url https: https://www.meinshop.de SSL: Ja Status:Ja wenn die Einstellung so sind dann muss der Bookmark für deinen Shop so sein https://www.meinshop.de/xtAdmin/ejsadmin.php eben mit www wie in den Einstellung oder ohne so verstehst Shop Titel: Mein geiler Shop.de Shop Domain: meinshop.de SSL Domain: meinshop.de Url http: http://meinshop.de Url https: https://meinshop.de https://meinshop.de/xtAdmin/ejsadmin.php Link to comment Share on other sites More sharing options...
giller Posted February 18, 2012 Report Share Posted February 18, 2012 @giller Das kannst Du ja Deinen Kunden so erklären - die werden sicherlich Verständnis haben für Spam an ihre E-Mail-Adresse und ihre Bankdaten in fremden Händen. @cs24com Wenn der Backend-URL nicht mit https aufgerufen wird, werden bei der htaccess Authentifizierung Benutzername und Passwort im Klartext (unverschlüsselt) zum Webserver übertragen. Das löst also Dein Problem nur bedingt. Also müsste der Backend-URL über den SSL Proxy aufgerufen werden, dann kommt es aber wieder zu dem o.g. Problem. Ich schreibe es einfach nochmal. ----------------------------------------------------------------------- Dabei würde es prinzipiell ausreichen, lediglich das Backend-Anmeldeformular verschlüsselt zu übertragen und dann nach der Anmeldung auf die unverschlüsselte URL weiter zu leiten. Die entsprechende Funktionalität befindet sich in einer vom Hersteller codierten Source, also kann dies auch nur vom Hersteller geändert werden. ----------------------------------------------------------------------- ohh ein datenschützer deshalb schrieb ich ja (vorausgesetzt externe zahlungsdienstleister) so wie es ja die Regel ist ich würde Rechnungskauf und Lastschrift auf keinen fall ohne z.b billpay anbieten da man dann min.15% Zahlungausfälle hat. Und nutzt man externe Anbieter liegen die Daten dort. Und im Shop sind genauso gefährliche infos wie in einem öffentlichen Telefonbuch. Link to comment Share on other sites More sharing options...
cs24com Posted February 18, 2012 Author Report Share Posted February 18, 2012 @giller Danke dir. Die Einstellung habe ich bis auf eine Ausnahme genauso. Der Unterschied ist, und das wird der Grund für die weiße Seite sein, die Verwendung eines SSL-Proxis. Ich werde das nun doch auf "echtes" SSL umstellen. Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.