Ich denke mal man könnte das hier sicher beilegen. An Magnalister: Für den Auftrag 2012 übermittelte Zugangsdaten. Diese sollten auch dann nur für diesen Fall genutzt werden und nach beenden des Supports gelöscht werden. Eine erneute nutzung 2013 sollte NICHT ohne Rückfrage einfach gemacht werden. Da für diesen Fall diesmal ja nicht direkt nach einem Zugang gefragt wurde. @Manfred Sind diese ZUgangsdaten von damals den noch aktuell gewesen? (FTP / Admin-Login)
Hallo Dennis, wir werden Deinen Vorschlag beratschlagen. Hier allerdings auch der Spagat für uns: Immer wieder kommt es vor, dass unser Support auch nicht recherchiert, ob bei einem Folgefall bereits Zugangsdaten in einem früheren Fall übermittelt wurden und fordert sie einfach neu an. Dann kommt "Mecker" vom Kunden, dass er uns die Daten ja bereits früher übermittelt hat und wir zu bürokratisch seien. Dennoch: Im Zweifel gilt es, ungewollten Zugriff zu vermeiden. Vielleicht reichern wir unsere Antworten einfach mit einem Hinweis dazu an, wie der Kunde es bevorzugen würde. Danke für die Anregung. Euer magnalister-Team
FTP bis vorhin "JA" - nur fand laut ServerFTPLog kein FTP-Zugriff statt! Admin: NEIN - der damalige "AdminMagnaSupportUser" wurde damals wieder gelöscht.
Jetzt mische ich mich auch nochmal hier in die Diskussion ein, denn ich habe das Thema auch verfolgt und sehe das Ganze wie folgt: Manfred hatte ein Problem mit magnalister und stellte daraufhin eine Support-Anfrage. Der magnalister Support hat sich das Problem daraufhin angesehen und und auch direkt in Manfreds Shop untersucht. Dazu wurden Zugangsdaten verwendet, die Manfred magnalister im Rahmen eines älteren Vorgangs zur Verfügung gestellt hat. Manfred wundert sich nun, wie ein Admin-zugriff zustande kommt, da er keinen Admin-Account eingerichtet hat. magnalister hat erklärt, dass zumindest FTP-Daten aus dem älteren Vorgang stammten und man sich darüber ggf. einen Admin-Account angelegt hat, um sich um das Problem zu kümmern. Ich hoffe ich habe das soweit richtig verstanden und zusammengefasst, ansonsten korrigiert mich bitte. Nun meine Einschätzung dazu: Ich bin mir sehr sicher, dass magnalister sich keinen unberechtigten Zugang zu Shops verschafft. Daran besteht weder Interesse, noch wäre das in irgendeiner Weise clever - von der rechtlichen Seite mal ganz zu schweigen. Ich kenne Peter und die Mannschaft inzwischen gut und lange genug, um dafür meine Hand ins Feuer zu legen. Nach meiner Auffassung hat der magnalister Support verucht, ein gemeldetes Problem so schnell und gut wie möglich zu beheben und da noch Daten aus einem älteren Vorgang vorlagen, wurden diese dazu verwendet. Die Alternative wäre eine Nachfrage gewesen, ob die vorliegenden Daten auch für diese Anfrage genutzt werden können. Ja, das kann man machen, das hätte ich in diesem Fall aber ehrlich gesagt auch nicht getan, denn wenn ein Kunde ein Problem meldet möchte ich ihm schnellstmöglich helfen und wenn ich von ihm selbst bereits alles habe, was dazu nötig ist, dann würde ich auch direkt versuchen zu helfen ohne nochmals nachzufragen. Aus vorliegenden FTP-Daten einen Admin-Account zu erstellen ist übrigens eine Kleinigkeit, denn die FTP-Daten sind bereits die sensibelsten Daten und ein Zugang zur Datenbank ist da bereits inklusive. Wir erstellen uns über FTP beispielweise auch oft Admin-Zugänge wenn diese im Rahmen des Supports benötigt werden. So können wir zum Testen einen eigenen Admin-Zugang verwenden und müssen nicht an den Einstellungen des echten Admin herumpfuschen. Der Zugang kann anschließend so einfach wieder gelöscht werden wie er erstellt wurde. Ich gehe davon aus, dass magnalister in diesem Fall einfach davon ausging, dass der Kunde offenbar Vertrauen zu magnalister hat, denn die Daten wurden ja bereits früher zur Verfügung gestellt und es gab keinen Anlass zu glauben, dass inzwischen weniger Vertrauen bestünde. Und wenn ein Zugang zum allerheiligsten (FTP) bereits zur Verfügung gestellt wurde, dann könnte man davon ausgehen, dass dieser Zugang dann auch uneingeschränkt genutzt werden kann, um im wohle des Kunde zu handeln und sein Problem zu lösen. Ganz klar: Nur zu diesem Zweck und nichts weiter! Soweit mein Eindruck und meine Einschätzung. Ich muss aber auch sagen, dass das Thema "Schutz der eigenen Daten" zu recht hier kritisch hinterfragt wird, denn es sind immerhin die Daten Eurer Kunden um die es geht und für deren Sicherheit Ihr als Händler sorgen müsst. Von daher ist es richtig nachzufragen und auch mehrfach kritisch nachzuhaken. Ich finde auch sehr positiv, das magnalister hier schnell und sehr offen auf alle Fragen reagiert. Ich musste aber auch vieles mehrfach lesen, bis ich es wirklich verstanden hatte. Meine Empfehlung an Manfred und magnalister: Manchmal wirkt ein kurzes persönliches Gespräch Wunder. Ich würde mir wünschen, dass Ihr beide morgen kurz die Zeit findet das ganze nochmal am Telefon durchzusprechen. Wenn danach noch immer Ungereimtheiten bestehen fresse ich 'nen Besen und werde Manfred persönlich ins magnalister Büro nach Berlin chauffieren, um die Angelegenheit vor Ort zu klären! In diesem Sinne wünsche ich nun erstmal allen eine gute Nacht!
kurz nachgehackt. sind die nicht gerade von BUtzbach nach Berlin umgezogen? War da nicht was? Butbach wäre nämlich gleich hier bei uns um die Ecke (keine 30 min.) Finde es generell gut das immer beide Seiten offen an so einer Diskussion teilhaben. Wünsche mir das bleibt so. Kann nur positiv für alle sein.
Danke für all Eure Antworten. Das war im wahrsten Sinne eine aufregende Runde, die aber zeigt, wie engagiert jeder einzelne hier ist. Denn wenn es allen egal wäre würde hier niemand schreiben. Wir haben uns bereits beratschlagt: Wir werden in Zukunft bei Übermittlung von FTP-Daten (Vollzugriff) die Admin-Daten nach wie vor erweitern/anlegen, sofern es der schnellen Falllösung dient (womit dem Kunden ja dann auch geholfen ist). In dem Fall erhält der Kunde dann aber in jedem Fall eine Info, so dass er selbst entscheiden kann, ob er unseren Account für weiteren Support stehen lässt, oder löscht, sofern wir das nicht selbst schon gemacht haben. Und jetzt gute Nacht! Euer magnalister-Team
Hallo Daniel, Danke für deine Stellungnahme bzw. Erklärung! Hier nun mein (abschließender) Senf dazu: Wir sind seit 07.10.12 bei Magna Sowohl mit den Leistungen (Funktionalität der Module als auch deren vorbildhaften!! Programmierung) sind wir sehr zufrieden! Der Supporteinsatz vom 08.10.2012 war sehr umpfangreich und verlief zu unseres vollsten Zufriedenheit! Den Supporteinsatz vom 13.05.13 möchte ich in seiner Durchführung als "verunglückt" bezeichnen: "Manfred wundert sich nun, wie ein Admin-zugriff zustande kommt, da er keinen Admin-Account eingerichtet hat." Genau dieses trifft des Mannis Kern! Wäre eine Erklärung wie die deine erfolgt, hätten wir uns diese ganze schöne Schreiberei sparen können! "Die Alternative wäre eine Nachfrage gewesen, ob die vorliegenden Daten auch für diese Anfrage genutzt werden können." Dies sollte m.E. in jedem Fall geschehen! Wie Du selber so richtigt schreibst, es handelt sich um sensible Daten und die Möglichkeit der Einsichtnahme. Und davon muss der Shopbetreiber in jedem einzelnen Fall wissen! "Wir erstellen uns über FTP beispielweise auch oft Admin-Zugänge wenn diese im Rahmen des Supports benötigt werden." Das war mir bis jetzt in der erschütternden Deutlichkeit nicht klar und hinterläßt bei mir einen .... sagen wir mal "unschönen" Beigeschmack. Ich war der Meinung: FTP-Zugang ... schön, wurschtelt euch mal durch den Filesalat ... vielleicht werdet ihr ja fündig. ADMINZugang: Nu aber ... da wollen wir in der Endlosliste "Adminrechte" doch erstmal schauen, was sie nicht unbedingt sehen sollten. Und nun muss ich mir sagen: Schitt auf die AdminRechteHäkchenSetzerei ... die holen sich doch eh die Berechtigungen selber. Ohne dass ich jetzt eine Lösung dieses Dilemmas weiß ... ich find´s nicht gut so. Schlußformel: Es gab viel Wind, Wissen & Halbwissen prallten aufeinander .... sollte eine Formulierung zu scharf gewesen sein: Sorry. Und nun freuen wir uns alle auf ein fröhliches Wiedersehn mit den (lieben) Gambis ... nicht wahr DANIEL!!
Hallo Manfred, es scheint so, als sei vielen Shopbetreibern garnicht bewusst, welche Macht der FTP Zugang bedeutet. Mit den FTP Daten kannst du an absolut alle Daten ran. Beispielweise kannst du einen phpmyAdmin hochladen und die komplette Datenbank sichern. Du kannst aber auch eine PHP Datei hochladen, die über die Shopdateien eine Datenbankverbindung aufbaut und dir einen Admin Account anlegt. Mit FTP kannst du alles machen (nicht nur Dateien verändern). Daher ist es auch sinnvoll die FTP Daten regelmäßig zu ändern. Bezüglich der Erstellung eines Admin Accounts von unserer Seite: Grundsätzlich erstellen wir keinen eigenen Account, sondern nutzen fast immer die des Kunden. Es gibt da ein paar kleinere Ausnahmen. Beispielsweise, wenn der Kunde sein Passwort nicht mehr kennt - hat es aber noch im Browser gespeichert (kommt verdammt oft vor). Dann erstellen wir uns für den Auftrag einen eigenen Account. Ein anderer Fall wäre, wenn der Kunde es innerhalb von einem Monat nicht schafft die korrekten Daten zu schicken. Dann stornieren wir den Auftrag (meistens der Fall), oder wir erstellen uns dann doch einen eigenen Account (kommt aber sehr selten vor). MfG, Timo Nachtrag: Auch bei uns wird ein Account nur bei einem Auftrag erstellt. Wenn wir also sowieso vollen Zugriff auf alles benötigen und der Kunde mit der Auftragserteilung uns zum vollen Zugriff berechtigt. Bei irgendwelchen Tickets oder Nachfragen, erstellen wir grundsätzlich keinen Account.