hansi1234 Posted January 1, 2005 Report Share Posted January 1, 2005 Hey, Mir ist als Newbie ein Punkt(unter anderem) unklar. Wie sicher sind die Kundendaten die auf dem Server liegen bei XTCommerce 2? Ich weiss die Antwort ist schwer bzw kann schnell anschweifen in "alles ist knackbar". Mir w?rde aber ein Einstufung mit anderen Bsp im netz(z.B. Amazon) helfen um da einen Vergleich zu haben. Wo liegen die Schwachstellen und wie kann ich die Gefahr verringern? Was kann ich daf?r tun? Bin f?r jeden Tip dankbar! Gutes Neues! Link to comment Share on other sites More sharing options...
chrengelke Posted January 1, 2005 Report Share Posted January 1, 2005 Hallo, wie sicher die Daten bei Amazon sind kann ich dir nicht sagen :-( Schwachstellen: 1. Fremde greifen auf die Daten zu (Port 3306) 2. Die Daten gehen verloren (Brand, Plattencrash, ?berspannung) 3. Die Daten werden abgeh?rt (keine SSL Verbindung) Am sichersten ist meiner Meinung nach die folgende Variante: (so machen wir es gerade) Nimm zwei Server und stelle Sie in ein Rechenzentrum mit Zutrittskontrolle, Brandfr?herkennung, Notstrom etc. (Lamda Net, Server Service, Level One .. etc) Einen HTTP Server auf dem NUR DEIN SHOP l?uft. (MIT Public IP) (Benutze Alphanumerische Passw?rter) FTP etc niemals mit dem ROOT Account nutzen. - Einen Mysql Datenbankserver (OHNE PUBLIC IP) Auf dem Mysql Server l?uft NUR deine Shop Datenbank. Richte hierzu einen eigenen Benutzer ein der nur vom HOST deines Webservers auf die Datenbank zugreifen kann. Die Server sollte Redundante Netzteile, Plattensysteme etc besitzen. Folgende Netzwerkkonfiguration: 1. Http Server hat eine Public IP Adresse -Http Server hat eine zweite Netzwerkkarte um sich direkt mit dem MySql Server zu verbinden -SSL Zertifikat. 2. Mysql Server hat eine Netzwerkkarte um Verbindungen vom HTTP zu akzeptieren. L?sung: 1. Der Server steht sicher in einem Rechenzentrum (M?glicherweise eigenes abschlie?bares Rack) 2. Die Hardware ist nahezu ausfallsicher 3. Der Datenbankserver kann von au?en nicht erreicht werden, er hat keine Public IP -> Der Einzigste Weg ist zuersteinmal in den HTTP Server einzubrechen. -> Was die Sicherheit des Datenbankpassworts angeht, m?glicherweise k?nnte man entsprechenden Quellcode mit ZEND verschl?sseln (ich bin mir da aber nicht sicher) - Zum Betriebsystem: Wir hatten einen Server auf Windows 2003 Server laufen. (180 Day Trial zum ausprobieren). Anfangs lief alles ganz gut. Dann mussten wir das Ding jede Woche und zum Schlu? einmal pro Tag neustarten. Auf unseren Server l?uft zur Zeit Linux, da es mit Windows zu Problemen kam. Irgendwie ist es auch pervers auf nem Server ne Grafische Oberfl?che zu haben die riesige Mengen Arbeitsspeicher belegt. Auf mein Toshiba Notebook hab ich Suse 9.2 gespielt aber irgendwie ist KDE schwul genauso wie Dreamweaver mit WINE. Also privat ist erstmal nix mit Linux. - Bin gern f?r Kritik und Verbesserungsvorschl?ge offen. Gru? Christian Link to comment Share on other sites More sharing options...
hansi1234 Posted January 1, 2005 Author Report Share Posted January 1, 2005 Hallo Christian, Vielen Dank f?r Deine ausf?hrlich Antwort. Ich werde wahrscheinlich bei all-inkl.com einen Webspace f?r ca. 5 Euro mieten(f?r den Anfang erstmal!), damit d?rfte der Ausfall des Servers abgesichert sein. zudem werde ich ?fters Backups durchf?hren. Hat jemand mit all-inkl Erfahrung? Zu empfehlen? Deine Empfehlung mit den 2 Servern(HTTP und MySQL) habe ich leider nicht ganz verstanden(Sorry Newbie!) Habe ich so was wenn ich zu all-inkl gehe? kannst Du dies f?r mich bitte nochmal genauer erkl?ren? Wenn ich im Admin Bereich des XTC bin und z.B. meine Daten eingebe(Artikel oder Email's an Kunden schreiben) bin ich ja nicht ?ber eine SSL-Verbindung online. Ist das nicht gef?hrlich? K?nnen da die Daten nicht abgeh?rt werden? ich komme ja in den Admin Bereich indem ich die richtige Email und Passwort eingebe. F?r die Sicherheit ist es bestimmt besser ein Passwort aus Buchstaben, Zahlen und Zeichen zu w?hlen. Was kann ich noch machen, damit niemand in meinen Admin-Bereich kommen kann? Vielen Dank schon mal f?r Deine und eure Unterst?tzung. Link to comment Share on other sites More sharing options...
chrengelke Posted January 1, 2005 Report Share Posted January 1, 2005 Hallo, du hast nur dann eine hohe Sicherheit wenn: 1. Du deine eigene Serverhardware benutzt 2. Nur Deine Webseite auf dem Server liegt 3. Nur Du den Server administrierst und nur Du die Root Passw?rter hast. - Alles andere bietet keine 100%ige Sicherheit. Aber die gibt es ohnehin nicht. - Bei "Billighostern" ohne Namen zu nennen liegen oft viele Hundert Webseiten auf einem Server. Dies f?hrt einerseits zu Sicherheitsproblemen, andererseits zu Performance Problemen. F?r die meisten kleinen Webseiten reichen diese Angebote jedoch idR. aus. Gru? Christian Link to comment Share on other sites More sharing options...
hansi1234 Posted January 1, 2005 Author Report Share Posted January 1, 2005 hallo Christian, Damit hast Du fast alle Fragen von mir beantwortet. Danke!!! Nur eine mit dem Zugriff im Admin Bereich bei XTC. Kann da nichts passieren wenn ich von zu Hause zugreife? Link to comment Share on other sites More sharing options...
chrengelke Posted January 1, 2005 Report Share Posted January 1, 2005 Hallo, Adminzugriff: Ich bin mir nicht ganz sicher wie XTC das l?st (wir nutzen in unserer n?chsten Shopversion kein XTC mehr): Wenn du ein SSL Zertifikat hast (https://deine domain.de) dann ist der Zugriff auf den Admin relativ sicher. Zmdst in der /catalog/configure.php kannst du einstellen ob du eine HTTPS (sichere) Verbindung nutzen m?chtest. Das gleiche sollte auch in /admin/configure.php gehen. Gru? Christian Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.