Ich habe bei mir schon seit Wochen den Magnalister code "deaktiviert" in system/overloads/ApplicationTopExtenderComponent/MagnalisterApplicationTopExtender.inc.php Wer nachmachen will: Zeile mit require_once und magnaExecute auskommentieren, allerdings erst testen! Mein System ist auf v2.0.10g und nutzt Magnalister nicht! Ich hatte es deaktiviert, weil ich das System auf Performance trimme. Könnte sein, dass noch woanders etwas geladen wird, bin gespannt auf einen offiziellen Fix...
Hier nun die gewünschte detaillierte Beschreibung, wie und in welchem Umfang magnalister im konkreten Fall von Manfred und auch im Allgemeinen Admin-Zugriff auf das Shopsystem haben kann: Wird der technische Support von magnalister vom Kunden (Shopbetreiber) dazu beauftragt ein technisches Problem der magnalister-Schnittstelle zu lösen, ist in der Regel für die Analyse des Problems Datei- und Adminbereich-Zugriff notwendig. Dazu fordert magnalister FTP- und Admin-Login-Daten an. Sendet der Kunde (Shopbetreiber) die FTP-Daten an magnalister, erklärt er sich damit einverstanden, dass magnalister die Daten nutzt, um die beauftragte Problemanalyse und -lösung durchzuführen. Stellt der magnalister-Techniker nun fest, dass der zugeschickte Admin-Zugang nicht die erforderlichen Rechte hat, um die Analyse durchzuführen, erweitert er diese soweit, wie es notwendig ist. Mittels FTP hat man grundsätzlich Zugriff auf alle Daten des Shops (Dateien/Datenbank). Wie bei uns, werden selbstverständlich auch bei magnalister die Daten nur soweit genutzt, wie sie für die Arbeiten, für die sie vom Kunden (Shopbetreiber) zur Verfügung gestellt wurden, zwingend notwendig sind. Da der Kunde (Shopbetreiber) mit Zusendung der FTP-Daten Vollzugriff auf das Shopsystem gewährt, findet die ggf. erforderliche Rechte-Anpassung der Admin-Accounts automatisch ohne vorherige Absprache statt. Die Legitimation dazu wurde ja bereits durch den Auftrag zur Problemlösung und Zusenden der FTP-Daten gegeben. magnalister selbst wird direkt hier im Thread auch nochmals Stellung nehmen. Und damit es ganz klar für alle ist: Das magnalister-Modul an sich beinhaltet keinerlei technische Möglichkeit (Hintertür) auf Daten des Shops zuzugreifen, die ansonsten nur mittels FTP-, MySQL- oder Admin-Login-Daten zu erreichen wären.
Wir möchten hiermit den Spekulationen gerne ein Ende setzen: Manfred hatte unsere technische Hilfe am 08.10.12 unter der Ticketnummer 2013051210000069 angefordert (es handelt sich um ein modifiziertes Gambio System, auf das magnalister abgestimmt werden musste). In dem Zuge wurden uns von Manfred sowohl FTP-, als auch Shop-Admin Zugangsdaten übermittelt und der Datenzugriff gewährt. Sollten Admin-Rechte daraufhin angepasst worden sein, dann so wie von Moritz oben beschrieben. magnalister ändert ohne Freigabe des Kunden keine Daten. Das versteht sich von selbst. Der Fall konnte am nächsten Tag erfolgreich geschlossen werden. magnalister prüft danach nicht, ob die Zugänge geändert/gelöscht werden. Bei erneuter technischer Supportanfrage werden neue Zugangsdaten angefordert, wenn dies zur Falllösung erforderlich ist und die bisherigen Daten nicht mehr gültig sind Für Rückfragen zu dem Fall können sich die Betroffenen gerne direkt an magnalister wenden: 030 / 120 76 74 12. In dem Fall dann bitte die o.g. Ticketnummer angeben, in der wir den Fall notiert haben. Wir wünschen weiterhin viel Erfolg mit dem Tool. Euer magnalister-Team
Danke, für die erste Stellungnahme. Trotzdem möchte ich an dieser Stelle und aus gegebenen Anlass nochmal meinen Wunsch äußern, magnalister offiziell aus dem Shop zu entfernen. Hier sollte es für jeden Shopbetreiber die einfache Möglichkeit geben!
Wer magnalister aus dem Shop entfernen möchte, muss dazu nur die folgenden Daten vom Server löschen (ausgehend vom Shop-Hauptverzeichnis): - /magnaCallback.php (Datei) - /magnalister_compatibility_check.php (Datei) - /admin/magnalister.php (Datei) - /admin/includes/magnalister (Ordner) - /admin/includes/modules/export/magnalister.php (Datei) sowie alle Datenbanktabellen, die mit "magnalister_" anfangen. Euer magnalister-Team
Also etwas verstehe ich trotz Moritz´s Stellungnahme nicht. Wie kommt in das Serverlogfile dann dieser Eintrag mit der ominösen IP wie auf dem Bild und unserer Magna-Kundennummer:
Ihr hattet heute mit unserem Support kommuniziert. In dem Zusammenhang wurde aus unserem Backoffice Euer Shop angeklickt. Ausserdem greift magnalister natürlich permanent auf die Shop-Datenbank zu, solange magnalister aktiv Daten übermittelt - wozu magnalister ja letztendlich gedacht ist. Natürlich wollen wir hier keine Fragen offen lassen - würden uns aber freuen, wenn hier nicht unnötig "die Pferde scheu" gemacht werden. Wie ausführlich beschrieben, hatte alles seine Berechtigung und wurde auf Eure Anfragen hin bearbeitet. Euer magnalister-Team
Also wahrscheinlich habe ich heute ein besonders dickes Brett vor´m Kopf! Wieso bitte beinhaltet der FTP-Zugriff (Filesystem) automatisch den VOLLEN Adminzugung zum Shop? Wieso lege ich einen SupportAdmin an und klicke mich durch die endlosen Adminrechte wenn diese SupportAdmins ggf. selber ihre Adminrechte erweitern? Einer derart allumfassende Legitimation ist m.E. vollkommen ausgeschlossen und inakzeptabel!!! Ich weiß im Moment nicht, wie im Fall des Falle wir noch Supportleistungen in Ansrpruch können? PS: Jetzt muss ich erstmal den an der Decke kreisenden und feuerspuckende Müller bändigen!
Uns wurde ein Auftrag von Ihnen erteilt, magnalister an das modifizierte Shop-system anzupassen (dies haben wir nebenbei gesagt auf Kulanzbasis kostenfrei gemacht). Wenn uns Datenzugriff über FTP gewährt wird und ein Anpassungswunsch vorliegt, ist es nicht praktikabel, finanzierbar und auch nicht Branchen-üblich, jedes Öffnen und Ändern einer Datei zur Erledigung des Auftrages absegnen zu lassen, solange uns nichts anderes mitgeteilt wird. Um jedoch Missverständnisse in Zukunft zu vermeiden, werden wir in Ihrem Kundenkonto eine Information für die Technik hinterlegen, keine Zugangsdaten mehr anzufordern, da wir eine Abgrenzung zur Zugriffsberechtigung in Ihrem Fall nicht einschätzen können. Euer magnalister-Team
Absolut richtig! Diese Zugriffe sehen dann so aus - siehe Bild. Wir alle haben weitaus dringendere Aufgaben zu erfüllen, als um uns irgendwelche Pferde zu kümmern. Es dreht hier aber um den nicht ganz unbedeutenden Verdacht des unberechtigten Zugangs zu unseren Shops ... und der eigenmächtigen (von uns nicht zu kontrollierenden!) Vergabe von Adminrechten! Und da darf man schon sehr hellhörig werden. Wie im 1. Bild von mir zu sehen ist, wurde durch den MagnaSupport die Seite "_gx/account.php" erreicht. Dies geht (soweit ich weiß!?) nicht ohne Account in unserem Shop? Wie ist das möglich wenn wir keinen diesbezüglichen eingerichtet haben? Es bleiben m.E. zu viele Fragen offen, als das hier von einer vertrauensvollen Zusammenarbeit die Rede sein könnte!
Ich habe jetzt alle Ordner und Dateien gelöscht. In der DB bekomme ich aber nicht alles gelöscht, er will da immer den DROP-Befehl statt "ALTER" haben will: #1090 - You can't delete all columns with ALTER TABLE; use DROP TABLE instead Hat jemand ne Lösung?
Dieses ist meine Mail an Magnalister: Wo bitte ist da was von einem Auftrag zur Anpassung an unser Shopsystem??? Auf den Rest des Beitrages werden wir mit gesonderten Post reagieren!
Hier werden Zusammenhänge aus dem Kontext gerissen und falsch dargestellt: Sie meldeten Probleme mit dem eBay-Token ("...es gelingt uns nicht bei der eBay-Konfiguration den eBay-Token zu aktivieren. Es ist kein PopUp-Blocker eingeschaltet..."), der durch Ihre Shop-Modifizierungen entstand und die wir auf Ihren Wunsch nach Übermittlung von Shop-Admin und FTP-Zugangsdaten hin behoben haben. Sollten Sie mit unserem Vorgehen Probleme haben und wenn das notwendige Vertrauen fehlt, heben wir Ihren Vertrag unabhängig irgendwelcher Fristen gerne per sofort auf. Wir haben gemeinsam mit Gambio offen, detailliert und schnell auf Ihre Besorgnisse reagiert. Dies sollte verdeutlichen, dass es uns fern liegt, irgendetwas zu tun, was nicht Ihrer Zustimmung unterliegt und uns Ihre Fragen wichtig sind. Eine öffentliche Klärung hier im Forum macht für die Community nur Sinn, wenn hier richtige Angaben gemacht werden. Weitere Korrespondenzen bitten wir daher über "support@magnalister.com" unter Angabe der Ticketnummer 2013051210000069, oder wie von Ihnen angedeutet, gerne auf dem Postweg zu führen. Ihr magnalister Team
Das war im Dezember 2012 und hat mit dem aktuellen Thema aber auch gar nix zu tun!! Es dreht sich schlicht & ergreifend um die oben aufgeworfenden Fragen!
... und genau aus diesem Grund, sollte es auch weiterhin hier im Forum offen diskutiert werden. Ich, der mit dem Support aus 2012 bei Manfred nix zu tun hat, habe dennoch begriffen, um was es hierbei geht. Dies ist ein Thema, was wohl vielen Shopbetreibern hier sehr am Herzen liegen dürfte...!
Solange sachlich und fair diskutiert wird, macht es natürlich für alle Sinn, so ein sensibles Thema öffentlich zu besprechen. Wir haben Manfred im Beitrag weiter vorne erklärt, dass es sich um sein Ticket vom 08.10.12 handelte, in dem er uns den besagten Datenzugriff und Auftrag zur Problembehebung zu dem "Token-Fall" gab. Wir hoffen in dem Thema vermittelt haben zu können, dass wir auf Auftrag gehandelt haben und offen und sicherheitsbewusst mit dem Thema umgehen. In Zukunft wollen wir in diesem Forum hier verstärkt auf wichtige Fragen eingehen, wobei wir nicht jeden Beitrag kommentieren werden. Hierfür ist unser Support auf anderem Wege ansprechbar (Hotline, E-Mail). Euer magnalister-Team
Ich denke mal es macht keinen Sinn mehr hier weiter zu diskutieren: Der eine redet von einem Supportauftrag von 2012 und ich von einer ANFRAGE vom 12.05.2013. Bedauerlich dass ein offensichtlich kein Wille zur Klärung eines unschönen Verdachts besteht. Nach Rücksprache mit dem Shopbetreiber ist für uns die Sache entschieden.
Uns liegt viel daran, Ihre offenen Fragen zu klären. Der Fall hier ist sicherlich komplex geworden, daher abschliessend eine stichpunktartige Zusammenfassung, die wir dem Shopbetreiber auch zur Klärung übersendet haben: - Der Fall vom 12.05.13 (vermisste eBay Bestellung) wurde am 13.05.13 aufgeklärt (Bestellung wurde gemäß Konfiguration mit einer anderen zusammengefasst). - Zugangsdaten, die wir für die Analyse verwendet haben, hatten Sie uns wegen einem anderen Fall am 08.10.12 übermittelt. Uneingeschränkter FTP-Zugriff wurde gewährt. Genaueres dazu finden Sie hier im Verlauf. - In Ihrem Server-Protokoll fanden Sie heute aufgrund Ihrer Rückfrage einen Aufruf der Shop-URL durch unseren Support, der aus unserem Backoffice erfolgte. Die IP ist die Rechner-IP unseres Supporters. Wenn Sie noch Ungereimtheiten sehen, lassen Sie es uns wissen. Ansonsten hoffen wir Licht ins Dunkel gebracht zu haben und wünschen noch einen schönen Abend. Euer magnalister-Team