Hi,

Bin selbst ein Webmaster eines Webshops, der auf OScommerce basiert.
Da oscommerce ja auch mit Sessions arbeitet, wollte ich fragen wie es mit der Sicherheit des OpenSource Projektes aussieht ?

dazu kann ich leider nicht sagen, hab mich damit auch noch nie befasst, weil es mich einfach nicht interesiert :-)

UNd noch eine Frage. Ich surfe seit gestern nur noch mit Firefox, da dieser Browser angeblich wesentlich sicherer sein soll als der IE.
Lieg ich da richtig ?

jepp da liegst du ganz genau richtig :-)

Gruß Kl

Hallo!

habe vor kurzen einen Bericht im Focus über Pishing und Session riding gelesen.

Gegen gewöhnliches Phishing kannst Du AFAIK selber erstmal nicht viel machen, ist aber vermutlich eher relevant für bekanntere Firmen. Allerdings gibt es ja auch Varianten sensible Daten per XSS-Attacken direkt auf der tatsächlichen Homepage abzugreifen (AFAIR basierte auch der Ebay-Angriff im Fernsehn darauf), und das kann man eben wirksam verhindern (siehe Links unten).

Mit Session-Riding ist vermutlich das gemeint, was im unten verlinkten PDF von Chris Shiflett "Cross Site Request Forgeries" genannt wird. Da findest Du auch entsprechende Gegenmaßnahmen, wie eben Register_Globals abschalten, bei Formularen $_POST verwenden und eindeutige Tolkens in Formularen zu verwenden.

Besonders wichtig ist prinzipiell, dass jegliche Eingabe die ein potentieller Angreifer manipulieren kann gefiltert wird, und jegliche Ausgabe entspescaped escaped wird (sowohl an die DB (z.B. mysql_escape_string()) als auch an den Browser/HTML (z.B. htmlentities()).

Bin selbst ein Webmaster eines Webshops, der auf OScommerce basiert.
Da oscommerce ja auch mit Sessions arbeitet, wollte ich fragen wie es mit der Sicherheit des OpenSource Projektes aussieht ?

Bei den meisten PHP-Projekten werden immer wieder Sicherheitslücken bekannt. Das betrifft auch auch gerade sehr oft verwendete Projekte wie phpMyAdmin, phpbb, vbulletin, und nicht zuletzt auch OScommerce. Gerade bei schlecht gewarteten und konfigurierten Servern (typischerweise ein großer Teil der billigen Root-Server) wird aus so einer Lücke schnell Root-Zugriff. Dank regelmäßig bekannt werdender Sicherheitslücken ist der Einsatz solcher Software natürlich riskant, vor allem wenn man es nicht auf dem aktuellen Stand hält. Sicherheitslücken ermöglichen eben auch die von Dir genannten Attacken. Auch weil man dank Suchmaschinen verwundbare Scripte sehr leicht findet.

Zwei Links zum Thema "PHP-Sicherheit", die ich Dir sehr empfehlen kann:
-> http://de3.php.net/manual/de/security.php
-> http://shiflett.org/php-security.pdf

Siehe auch folgendes Statement des PHP-Entwicklerteams: http://de3.php.net/security-note.php

Und noch eine Frage. Ich surfe seit gestern nur noch mit Firefox, da dieser Browser angeblich wesentlich sicherer sein soll als der IE.
Lieg ich da richtig ?

Sicherlich kann man nicht sagen dass Firefox keine Sicherheitslücken enthält. Es gibt aber einige wichtige Unterscheide zwischen Firefox und IE:

1. Firefix ist nicht so tief das System integriert
2. Sicherheitslücken werden im Regelfall deutlich schneller behoben
3. jeder kann selber Sicherheiteslücken finden und beheben

Grüße
Andreas

PS: Die Rechtscheibkorrektur scheint ein "kleines" Problem zu haben, die mir das ganze Posting zerhackt hat, ich hoffe alle Sätze haben nach den Korrekturen noch den gleichen Sinn wie vorher ;-)