Autor Thema: Sicherheit des Systems  (Gelesen 4803 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline Andi

  • Hero Member
  • *****
  • Beiträge: 540
  • Lob: 2
    • Auto Tuning Shop
Sicherheit des Systems
« am: Oktober 05, 2005, 21:52:03 »
Hallo,

nachdem ich unten verlinkten Bericht gelesen habe,
denke ich, das das SP-Team hier mal grundlegende
Sicherheitstips bezogen auf Shoppilot nennen sollte
(Hinweise worauf man achten sollte).

Was denkt Ihr ??


Hier der Link:
http://www.ecin.de/news/2005/09/29/08757/

Grüße v. ANDI

Linkback: http://www.shoppilot.net/pf/shopbetrieb/4/sicherheit-des-systems/511/
Alufelgen - Reifen - Kompletträder
www.auto-tuning-shop.com

Offline hop

  • Global Moderator
  • Hero Member
  • *****
  • Beiträge: 705
  • Lob: 5
(Kein Betreff)
« Antwort #1 am: Oktober 05, 2005, 22:13:05 »
Hallo Andi,

das ist sicherlich ein sehr wichtiges Thema, das uns äußerst bewußt ist, obwohl solche Sachen nicht an die große Glocke gehängt werden. Wir haben mit der EP 2.20 einiges in Punkto Sicherheit getan.

ShopPilot ist nicht in PHP geschrieben, sondern in Perl. Daraus ergibt sich zwar nicht zwangsläufig höhere Sicherheit. Aber unser Ansatz ist frei von Sicherheitslücken, die in PHP eingebaut sind. Gerade in den letzten Tagen sind wieder etliche PHP Shops gehackt worden. Ich fühle hier keine Schadenfreude, aber, freue mich trotzdem, dass wir doch offenbar einen besseren Ansatz haben.

Falls jemand irgendeine Sicherheitslücke aufspürt, ist eine Information hier im Forum oder per Mail sehr willkommen.
Wir werden diese Informationen prüfen und schnellstmöglichst berücksichtigen.

Ansonsten bitte weiter Meinungsäußerungen zum Post von Andi.

Gruss hop
Schöne Grüße hop

Offline Andi

  • Hero Member
  • *****
  • Beiträge: 540
  • Lob: 2
    • Auto Tuning Shop
(Kein Betreff)
« Antwort #2 am: Oktober 05, 2005, 22:41:09 »
@ HOP

Das ShopPilot in Perl geschrieben ist finde ich gut
(da ich ja von jeh her auf Perl "stehe").

Aber - gebt doch mal Tipps, worauf der User Z.B.
beim Rechtesetzen etc. achten sollte - sodaß z.B.
niemand an irgendwelche Dateien gelangt.
U. S. W.  :rolleyes:

Oder sollte man das hier besser nicht erzählen ??
Eventuell gefundene "Lücken" sollte man NICHT hier posten.



Grüße v. ANDI

Offline hop

  • Global Moderator
  • Hero Member
  • *****
  • Beiträge: 705
  • Lob: 5
(Kein Betreff)
« Antwort #3 am: Oktober 06, 2005, 16:53:37 »
Hallo Andi,

Zitat
Aber - gebt doch mal Tipps, worauf der User Z.B.
beim Rechtesetzen etc. achten sollte - sodaß z.B.
niemand an irgendwelche Dateien gelangt.
U. S. W.  


Es gibt eigentlich nur eine wichtige Sache zu beachten.
Und zwar dürfen keine Dateien im cgi-Verzeichnis und seinen Unterverzeichnissen über den Webserver lesbar sein.
Das CGI-Verzeichnis sollte so konfiguriert sein, dass alle Dateien ausgeführt aber nicht vom Webserver ausgeliefert werden. Nur das Iboshop.cgi sollte die Rechte 755 = xwr-x-rx-r haben. Das x bedeutet für Dateien ausführbar, die einzige ausfürbare Datei soll also iboshop.cgi sein. Dann führt der Aufruf von sonstigen Dateien zu einem Fehler 500.

Ob die eigene Konfiguration ok ist, kann man leicht überprüfen. "dateix.y" sei eine Datei im cgi-bin.

Wenn man im Browser dann http://www.mein-shop.de/cgi-bin/dateix.y aufruft, muss es zu einer Fehlermeldung kommen, auf keinen Fall darf der Inhalt der Datei angezeigt werden.

Bitte wenden Sie sich ggfs. an Ihren Provider, damit er die richtigen Einstellungen für das cgi-bin vornimmt.

Gruss hop