Nachdem uns HHG freundlicherweise auf die Mängel in den XT- und Gambio-Patches für das magic_quotes-Problem bei den suchmaschinenfreundlichen URLs hingewiesen hat (vielen Dank nochmal dafür!), haben wir uns die ganze Problematik noch einmal genauer angesehen. Nachdem wir HHGs Verbesserungsvorschläge in einen überarbeiteten Security-Patch haben einfließen lassen, sind uns dabei weitere Lücken im selben Bereich aufgefallen:

Bei Verwendung der suchmaschinenfreundlichen URLs werden Parameter an den Shop nicht direkt ins GET-Array geschrieben, sondern über die PATH_INFO übertragen, von wo aus sich der Shop die key/value-Pairs zieht und diese quasi selbst ins GET-Array schreibt. Durch dieses Verfahren wird allerdings die Anwendung der PHP-Sicherheitseinstellung magic_quotes_gpc umgangen, wodurch die Einspeisung von SQL-Injections erleichtert wird.

Der ursprünglich von XT empfohlene Sicherheitspatch wendet die Funktion addslashes() an den GET-Values an, um das magic_quotes_gpc-Verhalten nachzustellen. Vergessen wurde dabei allerdings, dass sich magic_quotes_gpc auch auf die GET-Keys auswirkt und diese darum ebenfalls mit addslashes() behandelt werden sollten, um den Shop effektiver gegen SQL-Injections zu schützen.

Weiter ist uns noch ein anderes Problem bei der Säuberung der suchmaschinenfreundlichen URLs aufgefallen: Arrays, die über das “suchmaschinenfreundliche Format” an den Shop übergeben werden, werden nicht gesichert, wodurch neben SQL-Injections theoretisch auch Cross-Site-Scripting (XSS) möglich wird.

Unser überarbeiteter Security-Patch beinhaltet
- HHGs Korrekturen bzgl. get_magic_quotes_gpc()
- die Behandlung der GET-Keys mit addslashes()
- und die Säuberung mehrdimensionaler GET-Arrays aus suchmaschinenfreundlichen URLs

Download über die URL
http://www.gambio-shop.de/downloads/file.php?id=patch-081124
(Installationsanleitung enthalten)

Liebe Support User,

bitte achtet bei Support Anfragen auf einen möglichst aussagekräftigen Betreff. Das erleichtert uns die Zuordnung und beschleunigt damit die Beantwortung. Es ist absolut sinnlos seinem Anliegen mit zig Ausrufezeichen Nachdruck verleihen zu wollen. Bei denen die es übertreiben führt es höchstens dazu, dass die Anfrage als Spam-gekennzeichnet wird.

Hier eine kleine Hilfestellung (kommt so oder so ähnlich fast täglich vor):

Richtig: Login-Problem mit dem Firefox nach 17h bei Vollmond
Falsch: !!!!!!!!!! WICHTIG !!!!!!!!!! Login !!!!!!!!!! Hilfeeeeee schnell

PS: Habe gerade mal geschaut wo der Betreffzeilen-Ausrufezeichen-Rekord im Oktober lag. !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! (bitte selber zählen)

Momentan ist leider nur wenig Zeit für sinnvolle Beiträge im Blog. Wir arbeiten immer noch auf Hochtouren am Update-Assistenten und auch sonst hat hier jeder mindestens genug Arbeit für zwei. In den letzten Tagen war besonders im Support viel los. Komisch, dass es keinen konkreten Grund dafür gab, es war einfach emhr als sonst. Ich vermute dass es mit den Ferien in vielen Bundesländern zu tun hatte, aber nun stimmen die Zahlen wieder und wir stehen soagr besser da als noch vor einer Woche.

Was den Blog angeht habe ich schon konkrete Pläne für einige interessante Themen, die ich sicher verfolgen werde. Neben dem Geschreibe muss aber auch etwas konkretes dabei herumkommen (Nachhaltigkeit ist eines meiner neuen Lieblingswörter;-) und daran muss eben auch gearbeitet werden … und das wird es.

Wenn jemand ein Thema hat, über dass er gern etwas erzählen würde, freue ich mich über jeden Vorschlag. Es sollte natürlich etwas mit eCommerce zu tun haben  und für möglichst viele interessant sein.

Einen neuen Beitrag muss ich aber gleich doch noch machen, sonst vergesse ich es wieder!
Trotzdem schonmal gute Nacht!

Dankeschön möchte ich allen unseren Kunden sagen, die nach erhaltener Lösung für Ihre Probleme oder Antworten auf Ihre Fragen sich noch einmal die Mühe machen, uns zu schreiben. Allein, um Danke zu sagen und uns einen schönen Tag, Abend, Feierabend… zu wünschen.

Das baut wirklich auf. Und auch wenn wir darauf nicht immer antworten, wissen wir es doch sehr zu schätzen.

Also: ein großes DANKESCHÖN für die Freundlichkeit in Ihren Anfragen!

Ich bin kein Handy-Experte und habe auch wenig Lust mich damit zubefassen (auch wenn mobile an sich ein wirklich spanndendes Thema ist). Nur laufen muss es und ich muss auch unterwegs vollen Zugriff auf alles und vor Allem meine E-Mails haben. Nun brauche ich demnächst ein neues Gerät da mein Blackberry lansgam den Geist aufgibt. Das iPhone kommt durchaus in die engere Wahl, aber ich bin ja ein Sparfuchs und nun frage ich mich natürlich:

Was ist der Unterschied zwischen dem iPhone 2G und dem iPhone 3G?
Antwort: 1G (gelesen in irgendeinem Forum)

Danke! …inzwischen habe ich die Antwort aber gefunden!

Eigentlich wollte ich schon lange Feierabend machen, spätestens um 2 Uhr wollte ich für heute bzw. gestern Schluss machen. Da ich hier aber nebenbei n-tv laufen habe, wo die US-Wahlen übertragen werden, ist es jetzt einfach zu spannend. Das hat natürlich den positiven Effekt, dass ich solange ich hier sitze auch arbeite, in diesem Fall bedeutet dies Support-Anfragen zu beantworten. Barack Obama sorgt also dafür, dass die Kunden-Anfragen  schneller beantwortet werden. Von wegen kein Einfluss auf uns in Deutschland…

Übrigens drücke ich Obama wirklich die Daumen. Erstens finde ich ihn wirklich klasse, zweitens habe ich aber einfach Angst davor, dass Sarah Palin Präsidentin wird, wenn John McCain etwas zustoßen sollte (und der jüngste ist er ja nicht mehr). McCain ist alt, konservativ und langweilig. Nicht toll, aber ich könnte mit ihm leben. Aber diese Frau ist meiner Meinung nach wirklich dämlich und sollte nicht an den roten Knopf gelassen werden.

In 4 Stunden will ich allerdings schon wieder auf dem Weg ins Büro sein. Wenn jetzt also nicht wirklich bald mal das Ergebnis aus Florida kommt, was der Moderator seit ca. einer Stunde als unmittelbar bevorstehend ankündigt, muss ich doch ohne Ergebnis ins Bett.

Mist, nun sagt er Florida dauert doch noch länger! Dann bin ich jetzt weg.

Also ein Paketverfolgungs Tool wird es definitiv demnächst geben, das haben wir eben einfach mal so beschlossen. Wurde schon öfter angefragt aber nie wirklich marktreif realisiert. Dabei dürfte es eigentlich ganz simpel sein und deshalb wirds nun auch gemacht. Aber bitte noch nicht nach einem Termin fragen…