Ich bin selber etwas durcheinander. Ein Kunde hat bei uns was gekauft, okay kein riesen Ding, ABER... Scheinbar über unseren Login... Kunde sind wir - Lieferadresse - Rechnungadresse direkt vom Kunden. E-Mail, Telefonnummer sonst alles von uns. Bezahlt wurde über sein Paypalkonto. Unser Passwort ist ziemlich bis sehr sicher, bis eher "nicht zu knacken" Etwas böswilliges kann ich hier den Kunden nicht unterstellen, da ja nichts passiert ist bisher. NUR wie kann sowas passieren? Vor schreck Version vergessen. Version 2.4.0.0
Ähm, okay war dann doof von mir, aber sicher ist das nun nicht.Sowas muss doch irgendwie unterbunden werden können, oder nicht?
Sie Session-ID wird immer als GET-Parameter mit drangehängt... Und mal zum Vergleich, wenn ich mein Auto parke, lasse es offen, der Schlüssel steckt, dann brauch ich auch nicht sagen, das darf nicht sein das jemand mein Auto fährt nur weil er meinen Schlüssel hat. Vorsicht und Achtsamkeit sind hier gefragt. Einfach Copy & Paste sind hier fehl am Platz....
Und was ist wenn die Option "Session erneuern" aktiviert ist - geht der Einkaufs-Trick dann auch noch?
Ich finde aber dennoch das du Äpfel mit Birnen vergleichst Steffen... Ich habe gerade wieder mal kopiert, da kopiert er zum Beispiel keine ID mit. Der Hinweis das nicht zu machen ist auf jedenfall super. Ich werde auf jedenfall nun darauf Achten. Für mich ist dieser Thread hier erledigt, auch wenn eine Dauerlösung schöner wäre. Vielen Dank
hm.. ich habe Gambio vor einigen Wochen angerufen und Ihnen das "Problem" mitgeteilt. Die Jungs meinten "wir sehen uns das an" Viele Shopbetreiber senden auf Tel. Anfrage Links vom Shop an Kunden, z.B. wenn diese etwas nicht im Shop finden können. Das ganze lässt sich reproduzieren: -als Admin anmelden -einen Artikel suchen -die Url (nach der Suche ist die Session-Id angehängt) versenden Die Kunden können dann mit dem Link sogar teilweise Admin-Rechte bekommen (solange der Shop-Betreiber selber unter gleicher Session angemeldet ist) Ihr könnt unter der Einstellung Session zwar einiges einstellen, aber dann können Kunden unter bestimmten Voraussetzungen nicht mehr bestellen. @Steffen kann man das nicht mit einem Cookie kombinieren? dann könnte man auch nicht mehr wegfahren ...ist nur so eine Idee
Die Session ID ist normal nur beim 1. 2. aufruf mit hinten dran, danach wird die normal unterdrückt im Browser, das noch so ne altlast von XTC Zeiten die immer mal wieder bemerkbar wird. Generell: URL kopieren immer ohne das was hinter dem XTCsID steht - wenn sowas und ne lange zahlen/buchstaben kombi im Link sind, dann den Part nicht kopieren, sonst gibst du quasi, wie steffen sagte, jemanden nen Zettel mit der Beschreibung wo dein Auto steht und den Schlüssel zum wegfahren gleich mit dabei. Die Sessin ID ist dein aktueller temporärer Schlüssel bis du ausgeloggt wirst. Damit du nciht bei jedem aufruf dein PW eingeben musst, muss der Browser dich ja irgendwie erkennen. Früher hing man daher die ID als Parameter mit hinten dran. Kann man heute besser, ist aber noch irgendwie nciht wirklich konsequent umgesetzt im Shop, daher kommt die manchmal bei den ersten Seitenaufrufen.
Fehler ist bei uns nun auch aufgetaucht. Es ist ein Ding der Unmöglichkeit, dass man nur anhand der SessionID, die in der Datenbank gespeichert wird, überprüft, welcher User das ist. Jede normale Seite nutzt hierfür Cookies!
Jein, das Dinge existiert aus Freundlichkeit. Es geht im wesentlichen um die Überwindung von Domaingrenzen beim hin- und herleiten von Benutzern. Ein solcher Anwendungsfall sind SSL-Proxies. SSL-Proxies sind eine nennen wir es "real existierende Beulenpest" für uns, für die man manchmal Klimmzüge machen muss damits irgendwie klappt. Wenn wir jetzt sagen könnten SSL-Proxies müssen vom Shop nicht mehr unterstützt werden, würden wir das recht fix loswerden können...
Ja schon, aber SSL-Proxy ist doch echt nur ne Notlösung, Mich als Kunde würde die komische URL mehr verwirren als in Sicherheit wiegen.
Zumal SSL mit den freien Zertifikaten eh so langsam zum Standard wird. mE können wir wegen einer Randgruppe keine Lücke im Sicherheitskonzept lassen.
Das ist völlig egal. Über Try and Error kann sich so jeder Zugriff auf das gesamte Shopsystem verschaffen.