nicht angemeldet
Shopping Cart/Onlineshop in PHP: Sicherheit?
0 0 0 0 
Der Martin
0 0 Der Martin
0
0
Shopping Cart/Onlineshop in PHP: Sicherheit?
Ich hab vor, als Zeitvertreib eine einfache Shopping Cart-Software in PHP zu programmieren und hab mir ein paar Gedanken zur Sicherheit gemacht.
Für die Kunden: Eine Kundenregistration wird es nicht geben, Bezahlung nur über Vorkasse oder PayPal.
Für den Admin: Einfaches Interface wo man Produkte hinzufügen/bearbeiten kann und in XML-Dateien oder SQLite-Datenbank gespeichert werden, Liste mit eingegangenen Bestellungen die man auf offen/in Bearbeitung/erledigt umstellen kann, mit eMail-Benachrichtigung für den Kunden und Admin.
Sehe ich das richtig, dass in einem solchen Fall keine grossen Sicherheitsvorkehrungen nötig sind? Ein Hacker könnte höchstens die Bestellungen einsehen, aber keine Kreditkarten-Infos. Ob eine Zahlung zu einer Bestellung eingegangen ist, sehe ich auf dem Bank- oder PayPal-Konto.
Was könnte eine pöhse Gestalt sonst noch mit der Shop-Software anstellen?
-
Hallo,
Sehe ich das richtig, dass in einem solchen Fall keine grossen Sicherheitsvorkehrungen nötig sind?
Nein, nur weil du die Bedrohung nicht siehst, heißt es nicht, dass sie nicht existiert.
Ein Hacker könnte höchstens die Bestellungen einsehen, aber keine Kreditkarten-Infos.
Willst du das? Wollen deine Kunden das?
Was könnte eine pöhse Gestalt sonst noch mit der Shop-Software anstellen?
Alles, was nicht der ursprünglichen Intention entspricht, sollte nicht möglich sein.
Beliebte Tätigkeiten mit kompromittierten Servern sind Spamversand oder Angriffe auf andere Server. Kundendaten kann man verkaufen und zu guter Letzt, kann die der ausländische Hacker erpressen, weil auf einmal dein gesamtes System verschlüsselt ist und nur er das Passwort besitzt.Grüße
-
Beliebte Tätigkeiten mit kompromittierten Servern sind Spamversand oder Angriffe auf andere Server.
Ähnliches könnte auch bei Wordpress, vBulletin, jCart oder simpleCart(js) passieren. Die Programmierer werden meist auch nur auf Sicherheitslücken aufmerksam, wenn sie ein Benutzer darauf hinweist.
Kundendaten kann man verkaufen
Ein Kunde kann auch nicht wissen, ob der Onlineshop, wo er was bestellt, dessen Daten gleich selber weiterverkauft.
und zu guter Letzt, kann die der ausländische Hacker erpressen, weil auf einmal dein gesamtes System verschlüsselt ist und nur er das Passwort besitzt.
Dazu hab ich dann die eMail-Bestätigung mit allen Bestelldaten als Backup in der Mailbox.
-
Ähnliches könnte auch bei Wordpress, vBulletin, jCart oder simpleCart(js) passieren. Die Programmierer werden meist auch nur auf Sicherheitslücken aufmerksam, wenn sie ein Benutzer darauf hinweist.
Und ist das jetzt gut?
Ein Kunde kann auch nicht wissen, ob der Onlineshop, wo er was bestellt, dessen Daten gleich selber weiterverkauft.
Aha, und deshalb ist es in Ordnung sich nicht um die Sicherheit zu kümmern?
Dazu hab ich dann die eMail-Bestätigung mit allen Bestelldaten als Backup in der Mailbox.
Noch besser, dann kennt Google deine Kundendaten gleich auch noch.
Wenn du Sicherheit für deine Webanwendung möchtest, kann ein bisschen Paranoia nicht schaden. Auch sollte man nie aufhören die Sicherheit zu überprüfen und weiterzuentwickeln.
-
Hallo,
Dazu hab ich dann die eMail-Bestätigung mit allen Bestelldaten als Backup in der Mailbox.
Noch besser, dann kennt Google deine Kundendaten gleich auch noch.wieso Google? Meinst du, Google scannt alle e-Mails, die irgendwo auf der Welt verschickt werden? Mir ist zwar klar, dass e-Mails durch viele virtuelle Hände gehen und gelesen werden können, aber ich würde doch in erster Linie dem Hosting- oder e-Mail-Provider auf die Finger gucken, in dessen Postfach die Mails schließlich landen. Google sehe ich als potentiellen Übeltäter hier nur in zweiter oder gar dritter Reihe.
Wenn du Sicherheit für deine Webanwendung möchtest, kann ein bisschen Paranoia nicht schaden. Auch sollte man nie aufhören die Sicherheit zu überprüfen und weiterzuentwickeln.
ACK.
So long,
Martin--
Noch Fragen? - Ich weiß es auch nicht.
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(-
Hallo,
Dazu hab ich dann die eMail-Bestätigung mit allen Bestelldaten als Backup in der Mailbox.
Noch besser, dann kennt Google deine Kundendaten gleich auch noch.wieso Google?
Ich vermute, dass der Frager ein Mailkonto bei Google hat.
Meinst du, Google scannt alle e-Mails, die irgendwo auf der Welt verschickt werden?
Sicher werden die gescant. Nach Spam, Viren, Geschäftsgeheimnissen(?), etc. Kontodaten werden ja schon an Ermittlungsbehörden weitergeleitet.
Mir ist zwar klar, dass e-Mails durch viele virtuelle Hände gehen und gelesen werden können, aber ich würde doch in erster Linie dem Hosting- oder e-Mail-Provider auf die Finger gucken, in dessen Postfach die Mails schließlich landen.
Ja eben. Und das wäre bei GoogleMail eben Google.
Grüße
-
Hi,
Noch besser, dann kennt Google deine Kundendaten gleich auch noch.
wieso Google?
Ich vermute, dass der Frager ein Mailkonto bei Google hat.könnte natürlich sein, aber was bringt dich zu dieser Vermutung? Das ist ja nach meinem eigenen Eindruck doch eher ein seltener Fall; ich kenne jedenfalls niemanden, der einen Google-Mailaccount hat (und auch niemanden, der das überhaupt möchte).
Meinst du, Google scannt alle e-Mails, die irgendwo auf der Welt verschickt werden?
Sicher werden die gescant. Nach Spam, Viren, Geschäftsgeheimnissen(?), etc. Kontodaten werden ja schon an Ermittlungsbehörden weitergeleitet.Ist das deine Mutmaßung (unabhängig davon, dass sie realistisch klingt), oder dokumentierte Tatsache?
Mir ist zwar klar, dass e-Mails durch viele virtuelle Hände gehen und gelesen werden können, aber ich würde doch in erster Linie dem Hosting- oder e-Mail-Provider auf die Finger gucken, in dessen Postfach die Mails schließlich landen.
Ja eben. Und das wäre bei GoogleMail eben Google.Ja, aber das wäre nur eine von vielen Möglichkeiten. Meiner Meinung nach eine eher unwahrscheinliche.
Ciao,
Martin--
Ein Patriot ist jemand, der bereit ist, sein Land gegen seine Regierung zu verteidigen.
Selfcode: fo:) ch:{ rl:| br:< n4:( ie:| mo:| va:) de:] zu:) fl:{ ss:) ls:µ js:(-
Hallo,
Noch besser, dann kennt Google deine Kundendaten gleich auch noch.
wieso Google?
Ich vermute, dass der Frager ein Mailkonto bei Google hat.könnte natürlich sein, aber was bringt dich zu dieser Vermutung?
Marktanteil? Persönliche Erfahrung ... such dir was aus. Deshalb ist es eine Vermutung.
Ist das deine Mutmaßung (unabhängig davon, dass sie realistisch klingt), oder dokumentierte Tatsache?
Grüße
-
könnte natürlich sein, aber was bringt dich zu dieser Vermutung? Das ist ja nach meinem eigenen Eindruck doch eher ein seltener Fall; ich kenne jedenfalls niemanden, der einen Google-Mailaccount hat (und auch niemanden, der das überhaupt möchte).
Jeder der ein Android-Telefon hat und das auch Online nutzt, hat ziemlich sicher einen Google-Mail-Account um nur die Kontakte zu verwalten - oft wird dann auch gleich der SMTP verwandt.
Meinst du, Google scannt alle e-Mails, die irgendwo auf der Welt verschickt werden?
Sicher werden die gescant. Nach Spam, Viren, Geschäftsgeheimnissen(?), etc. Kontodaten werden ja schon an Ermittlungsbehörden weitergeleitet.Ist das deine Mutmaßung (unabhängig davon, dass sie realistisch klingt), oder dokumentierte Tatsache?
Yahoo hat kürzlich die AGB dahingehend geändert, dass die Mails und deren Inhalt lesen und aufbereiten und ggf. weitergeben dürfen. So "schlau" ist Google sicher schon lange.
-
-
Ich vermute, dass der Frager ein Mailkonto bei Google hat.
Geh weg, du Kind. Was beantwortest du auch meine Fragen, wenn du keine Ahnung hast?
-
Hallo,
Ich vermute, dass der Frager ein Mailkonto bei Google hat.
Geh weg, du Kind. Was beantwortest du auch meine Fragen, wenn du keine Ahnung hast?
Na großer Meister, wo hast du denn dein Mailkonto, wo die Nutzerdaten als "Backup" liegen? Lass uns an deiner Weisheit teilhaben und erkläre mir doch auch noch bitte wie eine sichere Webanwendung aufgebaut ist.
Grüße
-
-
-
-
-
Ähnliches könnte auch bei Wordpress, vBulletin, jCart oder simpleCart(js) passieren.
Was hindert dich daran, die Software aktuell zu halten? 1x installieren und nie wieder Updaten ist scheinbar weit verbreitet heutzutage ... ach ja, fast vergessen: das kostet ja Geld.
Die Programmierer werden meist auch nur auf Sicherheitslücken aufmerksam, wenn sie ein Benutzer darauf hinweist.
Man kann auch Fachleute für ein Auditing bezahlen ...
Kundendaten kann man verkaufen
Ein Kunde kann auch nicht wissen, ob der Onlineshop, wo er was bestellt, dessen Daten gleich selber weiterverkauft.
Nein, kann er nicht - aber wenn der Shopbetreiber die Daten verkauft, kommt das schneller raus als wenn jemand die Daten klaut, du das nicht mitbekommst und er diese dann an einen Spammer verkauft.
und zu guter Letzt, kann die der ausländische Hacker erpressen, weil auf einmal dein gesamtes System verschlüsselt ist und nur er das Passwort besitzt.
Dazu hab ich dann die eMail-Bestätigung mit allen Bestelldaten als Backup in der Mailbox.
So locker wie du mächte ich sein.
-
-