Security-Pack Beta 3 Version nun verfügbar *UPDATE*

Thema wurde von Daniel (Gambio), 19. September 2012 erstellt.

  1. Daniel (Gambio)

    Daniel (Gambio) Erfahrener Benutzer

    Registriert seit:
    8. April 2011
    Beiträge:
    1.901
    Danke erhalten:
    1.620
    Danke vergeben:
    424
    UPDATE 31.10.2012: Das Update steht in der BETA 3 Version zur Verfügung.

    Ab sofort steht die Beta-Version des Security-Packs für euch bereit. Anders als bisherige Security-Pakete schließt dieses Update nicht nur bekannt gewordene Lücken und Schwachstellen, sondern enthält auch Vorkehrungen, damit Lücken, die bislang noch gar nicht bekannt sind, im Idealfall trotzdem nicht ausgenutzt werden können.

    Inhalt im Detail:

    Admin-Infobox


    Die optisch auffälligste Neuerung ist das Info-Icon oben rechts im Adminbereich sowie die Anzeige der Shopversion ganz oben. Optionen wie das Leeren des Seitencaches oder Hinweise zu neuen Error-Logs findet ihr nun in der ausklappbaren Infobox. Außerdem werden Shopbetreiber über die Infobox zukünftig automatisch über Updates etc. informiert, sofern ein Shopkey hinterlegt ist. Zum Shopkey-Konzept könnt ihr weiter unten mehr lesen.

    Shopkey-Konzept


    Die Verknüpfung vom Shop mit dem Portal wird in Zukunft für viele unserer Entwicklungen in Sachen Sicherheit eine wichtige Rolle spielen, denn so lassen sich Konzepte umsetzen, bei denen ein möglicher Angreifer sowohl den Shop als auch das Portal knacken müsste, um das System auszutricksen. Außerdem werden wir dieses System gleichzeitig auch nutzen, um für euch relevante Daten direkt in eurem Adminbereich anzuzeigen. Dazu gehören z.B. Infos über den Status aktueller Support-Anfragen, Aufträge oder Foren-Diskussionen. Sowohl in Sachen Sicherheit wie auch Komfort ergeben sich durch das neue System also zahlreiche Vorteile und neue Möglichkeiten.

    G-Protector (neuer Input-Filter)

    Wir haben ein System entwickelt, welches verdächtige Aktionen und Eingaben automatisch filtern soll und es so Angreifern deutlich erschweren wird, möglicherweise vorhandene Sicherheitslücken auch auszunutzen. Bereits im xtc gab es ein ähnliches System. Das System tat im Grunde auch seinen Dienst, doch war es extrem unübersichtlich aufgebaut und man konnte sich nie so richtig sicher sein, was es genau tut und wie. Das System wird so intelligent sein, dass es sehr einfach durch euch oder durch uns erweitert werden kann. Dazu werden einfach neue Regeln hinzugefügt, nach denen das System dann filtert. Beim G-Protector handelt es sich übrigens um eine eigenständige Lösung, die auch nicht unter der GPL, sondern unter den selben Lizenzbedingungen wie das StyleEdit veröffentlicht wird. Der G-Protector kann direkt durch den Shopbetreiber mit neuen Filterregeln versorgt werden, später möchten wir jedoch zusätzlich eine Möglichkeit schaffen, dass sich der G-Protector automatisch updatet, indem er sich neue Filterregeln aus dem Gambio-Kundenportal herunterlädt. Auf Grund der Lizenzbedingungen des G-Protector darf dieses Tool nur mit ausdrücklicher Genehmigung unsererseits verbreitet werden.

    Fixes


    Neben oben genannten Neuerungen enthält das Security-Pack auch eine ganze Reihe an Fixes zum Schutz vor SQL-Injections und XSS im Adminbereich. In diesem Zusammenhang bedanken wir uns auch bei dem Betreiber von identity-watch.org für die Meldung kritischer Stellen.

    Aktueller Stand:


    An diesem Update haben wir seit der Button-Lösung gearbeitet, wobei die Konzepte natürlich vorher schon bestanden. Seit eh und je predigen wir ja bereits, wie wichtig das Thema Security für jeden Shopbetreiber sein sollte und welche Rolle es bei uns spielt. Mit diesem Update stellen wir nun erstmals ein Konzept vor, welches nicht nur auf vorhandene Lücken und Probleme reagiert, sondern auch aktiv vorbeugt und so für noch mehr Sicherheit sorgen wird. Das Shopkey-Konzept wird mit diesem Security-Pack shopseitig umgesetzt, derzeit finden jedoch noch einige interne Entwicklungen statt, damit die Kommunikation zwischen Shop und Portal reibungslos stattfinden kann. Sobald dies der Fall ist, werden alle Shopbetreiber informiert und können dann einen Shopkey im Kundenportal erhalten. Bei der aktuell vorliegenden Version des Security-Packs handelt es sich um eine Beta-Version; neben unseren eigenen Tests sind wir dabei auch auf eure Mithilfe angewiesen, um möglichst bald eine stabile Final-Version herausgeben zu können.

    DOWNLOAD: http://www.gambio-shop.de/downloads/file.php?id=Security-Update-GP
     
  2. balou...sagt "Auf Wiedersehn"

    balou...sagt "Auf Wiedersehn" Erfahrener Benutzer

    Registriert seit:
    7. Juni 2011
    Beiträge:
    1.766
    Danke erhalten:
    374
    Danke vergeben:
    134
    schön gab keine Probs bis auf....wo finde ich den Gambio Shop-Key? Oder war ich zu faul alles zu lesen ;)
     
  3. Gerd Schoolmann

    Gerd Schoolmann Erfahrener Benutzer

    Registriert seit:
    23. August 2012
    Beiträge:
    165
    Danke erhalten:
    23
    Danke vergeben:
    21
    Du warst zu faul....
     
  4. Daniel (Gambio)

    Daniel (Gambio) Erfahrener Benutzer

    Registriert seit:
    8. April 2011
    Beiträge:
    1.901
    Danke erhalten:
    1.620
    Danke vergeben:
    424
    Die Shop-Keys werden über das Portal vergeben und werden das manuelle Anlegen der Shops dort ersetzen. Das müssen wir jedoch noch etwas testen und vor allem müssen wir noch eine Regelung für die Übergangsphase finden, denn die Shop-Keys können ja nur jene nutzen, die das Update eingespielt haben, es muss also zunächst beides möglich sein. Shop-Key und manuelle Verwaltung. Der Teufel steckt da im Detail. Ich hoffe aber, dass wir das in den kommenden Wochen freischalten können.
     
  5. Stefan

    Stefan Erfahrener Benutzer

    Registriert seit:
    26. April 2011
    Beiträge:
    655
    Danke erhalten:
    61
    Danke vergeben:
    203
    Wie funktioniert das mit dem GProtector?

    Kann man irgendwo Einstellungen sehen bzw. ändern ? Konnte hierzu bisher nichts finden ...

    @ Gambio - was haltet Ihr für die Leute die die Beta Testen für einen gleichen von euch vergebenen Shopkey ? Dieser kann ja nach dem es im Support Bereich alles funktioniert , deaktiviert werden.
     
  6. Manni_HB

    Manni_HB G-WARD 2012/13/14/15

    Registriert seit:
    26. April 2011
    Beiträge:
    9.098
    Danke erhalten:
    1.540
    Danke vergeben:
    909
    Ort:
    Bremen
    Was will mir das System sagen:
    Fatal error: Cannot redeclare class messageStack_ORIGIN in /www/htdocs/xxxxxx/_testshop/includes/classes/message_stack.php on line 87
     
  7. Moritz (Gambio)

    Moritz (Gambio) Administrator

    Registriert seit:
    26. April 2011
    Beiträge:
    5.786
    Danke erhalten:
    2.692
    Danke vergeben:
    903
    Der GProtector hat keine Konfigurationsoberfläche. Wie der GProtector genau funktioniert werden wir hier noch vorstellen. Wir sind noch dabei einen Text dazu zu verfassen.
    Ein Beta-Shopkey macht aktuell keinen Sinn, weil das System dahinter noch nicht zu 100% steht.

    Die message_stack.php wird zwei Mal in deinem Shop eingebunden. Warum das der Fall ist, lässt sich aus der Ferne nicht sagen.
    require(DIR_WS_CLASSES . 'message_stack.php'); sollte in den beiden application_top.php nur einmal vorkommen.
     
  8. Manni_HB

    Manni_HB G-WARD 2012/13/14/15

    Registriert seit:
    26. April 2011
    Beiträge:
    9.098
    Danke erhalten:
    1.540
    Danke vergeben:
    909
    Ort:
    Bremen
    Tja ... ich kann es nicht mal aus der Nähe sagen! :( Aber jetzt geht´s!
    Nur: Dass das I-Icon nix anzeigt hat seinen Grund in ....?
     
  9. Manni_HB

    Manni_HB G-WARD 2012/13/14/15

    Registriert seit:
    26. April 2011
    Beiträge:
    9.098
    Danke erhalten:
    1.540
    Danke vergeben:
    909
    Ort:
    Bremen
    Soll da jetzt schon was gezeigt werden?
     

    Anhänge:

  10. balou...sagt "Auf Wiedersehn"

    balou...sagt "Auf Wiedersehn" Erfahrener Benutzer

    Registriert seit:
    7. Juni 2011
    Beiträge:
    1.766
    Danke erhalten:
    374
    Danke vergeben:
    134
    Ich glaube in Verbindung mit Key wird erst was angezeigt. Also warten und Tee trinken.
     
  11. Manni_HB

    Manni_HB G-WARD 2012/13/14/15

    Registriert seit:
    26. April 2011
    Beiträge:
    9.098
    Danke erhalten:
    1.540
    Danke vergeben:
    909
    Ort:
    Bremen
    Ok - Danke!
    Obwohl: ICH HASSE WARTEN! :(:(:(
     
  12. Timo (Gambio)

    Timo (Gambio) Administrator

    Registriert seit:
    23. Juni 2011
    Beiträge:
    1.688
    Danke erhalten:
    651
    Danke vergeben:
    46
    Hallo zusammen,
    dies ist nicht ganz korrekt. Die Infos über Updates und Patches werden natürlich erst mit dem Shop-Key angezeigt. Jedoch wird jetzt schon in der Beta der "Seitencache leeren" Hinweis angezeigt. Sobald du also etwas unter Konfiguration speicherst (also einfach nichts ändern und den Speichern Button drücken), sollte der Hinweis in der Info-Box angezeigt werden.

    Bei dir sehe ich jedoch noch einen Fehler bezüglich der Position. Daher bitte ich dich einmal ein Ticket zu eröffnen und es an mich weiterleiten zu lassen (am besten gleich mit Zugangsdaten). Ich schaue mir das Problem dann genauer an.

    MfG,
    Timo
     
  13. Manni_HB

    Manni_HB G-WARD 2012/13/14/15

    Registriert seit:
    26. April 2011
    Beiträge:
    9.098
    Danke erhalten:
    1.540
    Danke vergeben:
    909
    Ort:
    Bremen
    @Timo:
    Alles gut ... muss einem ja gesagt werden! :)
    Idee: Wenn´s nix gibt, vielleicht ein Text "Keine Neuigkeiten für den Admin vorhanden - weiter machen!" .... oder so ähnlich!?

    Die verschobene Position ist hausgemacht! Ich muss irgendwo den "ShopbetreiberDatenbankSicherungsButton" deutlich sichbar unterbringen!
     

    Anhänge:

  14. Timo (Gambio)

    Timo (Gambio) Administrator

    Registriert seit:
    23. Juni 2011
    Beiträge:
    1.688
    Danke erhalten:
    651
    Danke vergeben:
    46
    Normalerweise ist das auch so. Vielleicht hast du vergessen den Modulcache zu leeren, damit die neuen Sprachvariablen mit übernommen werden. Vielleicht nochmal prüfen. Warum die Position so verschoben ist, kann ich mir trotz deiner Änderung nicht erklären, da wir von oben rechts aus die Box positionieren.

    MfG,
    Timo
     
  15. Manni_HB

    Manni_HB G-WARD 2012/13/14/15

    Registriert seit:
    26. April 2011
    Beiträge:
    9.098
    Danke erhalten:
    1.540
    Danke vergeben:
    909
    Ort:
    Bremen
    Nu aber - nix vergessen! :)
    Dann zieh´ mal dein Browserfenster auf Maximal! :)
    Die Box klebt am rechten Fensterrand. :(
     
  16. balou...sagt "Auf Wiedersehn"

    balou...sagt "Auf Wiedersehn" Erfahrener Benutzer

    Registriert seit:
    7. Juni 2011
    Beiträge:
    1.766
    Danke erhalten:
    374
    Danke vergeben:
    134
    Sollte so doch korrekt sein. Oder?
     

    Anhänge:

    • info.jpg
      info.jpg
      Dateigröße:
      49,6 KB
      Aufrufe:
      75
  17. balou...sagt "Auf Wiedersehn"

    balou...sagt "Auf Wiedersehn" Erfahrener Benutzer

    Registriert seit:
    7. Juni 2011
    Beiträge:
    1.766
    Danke erhalten:
    374
    Danke vergeben:
    134
    oder so:
     

    Anhänge:

  18. Manni_HB

    Manni_HB G-WARD 2012/13/14/15

    Registriert seit:
    26. April 2011
    Beiträge:
    9.098
    Danke erhalten:
    1.540
    Danke vergeben:
    909
    Ort:
    Bremen
    Ich glaube Timo wundert sich, weshalb die schöne Box so fest am rechten Fensterrand klebt ... statt sauber unter dem Icon?!

    PS: Wo bringst jetzt Du die Versionsinfo her? :(
     

    Anhänge:

  19. balou...sagt "Auf Wiedersehn"

    balou...sagt "Auf Wiedersehn" Erfahrener Benutzer

    Registriert seit:
    7. Juni 2011
    Beiträge:
    1.766
    Danke erhalten:
    374
    Danke vergeben:
    134
    Nach der Installation war das sauber da oben! Nix gemacht. War einfach da. ;)
     
  20. Manni_HB

    Manni_HB G-WARD 2012/13/14/15

    Registriert seit:
    26. April 2011
    Beiträge:
    9.098
    Danke erhalten:
    1.540
    Danke vergeben:
    909
    Ort:
    Bremen