Neu WAF v2

Morimus

Sehr aktives Mitglied
16. Mai 2019
352
88
Moin zusammen,
wir haben Stammkunden aus den USA und Australien, die mir gestern per E-Mail mitgeteilt haben, dass sie es sehr nervig finden, jedes Mal ein Puzzle lösen zu müssen, bevor sie den Shop betreten können.

Selbst wenn es beim ersten Mal klappt, kommt es gelegentlich vor, dass während des Kaufprozesses erneut ein Puzzle gelöst werden muss.
Einer der Kunden teilte mir heute Morgen in einem Telefonat mit, dass er dieses Projekt noch mit uns abwickeln wird, künftig aber bei Mitbewerbern bestellen möchte.
Diese Puzzle-Geschichte nervt ihn so sehr, dass er lieber ein paar Dollar mehr zahlt, als sich damit herumschlagen zu müssen.

Unsere Shops sind bei JTL gehostet und auf dem aktuellen Stand.
Gibt es eine Möglichkeit, dass JTL das WAF für uns deaktiviert?

Grüße
 

hula1499

Sehr aktives Mitglied
22. Juni 2011
5.378
1.308
Wenn dir dein Hostingpartner mit solchen - für dich - verkaufsschädigenden Tools/Einstellungen deinen Shop laufen lässt, dann würde ich diese Partnerschaft überdenken.

All diese: wir sperren einfach "irgendwelche" Cluster IPs, Länder, Kennungen, CAPTCHA-Müll etc. greifen in euren Verkäufe ein.
Versteh nicht, wie man sich sowas, generell, von irgendeinem Hostinganbieter vorschreiben lassen kann.
Fürn Hostinganbieter natürlich nachvollziehbar: geringere Last am Server = mehr Kunden am Server = mehr Gewinn/Server


Zitat von Morimus:
Gibt es eine Möglichkeit, dass JTL das WAF für uns deaktiviert?
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
Du zahlst ja fürs Hosting/Shop -> Ticket aufmachen.
 

sjk

Sehr aktives Mitglied
16. Januar 2019
588
264
Anekdote dazu: Diese JTL WAF wurde schon vor der offiziellen Ankündigung implementiert. Da ging in unserem Hosting irgendwas schief und der Shop hat an einem Sonntag erstmal ne weiße Seite geworfen. Ich hatte dann kurzzeitig Dateien der WAF in unserem web root gefunden, hatte aber natürlich keine Ahnung, was das sein soll. Im ersten Moment dachte ich schon, wir hätten Eindringlinge.
Fand ich richtig beschissen und der Support meinte sinngemäß, deployment könne aufgrund von race conditions schon mal fehlschlagen und überhaupt wurde es ja zeitnah gefixed. Völlig normal, bitte weitergehen.

Naja, wir hatten da zum Glück schon den Umzug zu einem Managed vServer laufen. Hätten wir viel früher tun sollen. Allein der gefühlte Geschwindigkeitsunterschied wenn man durch den Shop klickt ist krass. Das JTL Shophosting hatte da immer ne Bedenksekunde bei jedem Klick.

Zitat von Morimus:
wir haben Stammkunden aus den USA und Australien, die mir gestern per E-Mail mitgeteilt haben, dass sie es sehr nervig finden, jedes Mal ein Puzzle lösen zu müssen, bevor sie den Shop betreten können.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
Dazu übrigens ganz witzig, wie mir der Support damals beim Ausfall erklärt hat, wie die WAF arbeitet:
Bzgl der Kriterien: Im Prinzip, wird jeder gewünschter Traffic nicht geblockt oder geratelimitet. Das betrifft selbstverständlich Besuche aus aller Welt von menschlichen Besuchern, sowie von Bots die von unseren Kunden oft gewollt sind (google, amazon, paypal, instagram etc pp). Diese stellen auch meist kein Problem dar da die jeweiligen "Inhaber" der Bots, also Google etc, sehr gut dokumentiert haben was diese tun und woher diese kommen.

Das Problem sind Bots, die einfach "frei laufen". Das heißt, Bots die aus Netzen kommen, wo z.B verschiedene Rechner infiziert sind und einfach nur sinnlosen Traffic generieren. Oder gar böswillig unterwegs sind, um einfach Seiten down zu bringen.

Sicherlich kennen Sie beispielsweise Cloudflare, und das Phänomen das Sie ggf ab und an wenn Sie eine Seite besuchen, bestätigen müssen das Sie ein Mensch sind, in dem Sie in ein viereckiges Feld klicken. Oder Captchas etc.

In der Hinsicht arbeiten wir anders. Wir lassen diese Bots Berechnungen durchführen, die zwar jeder Mensch, bzw dessen Maschinen die der Mensch bedient (PC, Smartphone, Notebooks etc. wo diverse Browser existieren) automatisch bestehen, die Bots jedoch nicht.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
???

Auch interessant, dass die WAF auf der Shop Hosting Landingpage mit keinem Wort erwähnt wird, oder sonst irgendwo, wo ich es mit Google finden würde. Scheinen nicht sehr stolz zu sein auf das, was die da gebaut haben.
 

Morimus

Sehr aktives Mitglied
16. Mai 2019
352
88
Danke für euren Input.
Einen Managed Server habe ich ebenfalls noch auf der Agenda stehen.

Wir konnten das „Problem“ inzwischen mit dem JTL-Support klären.
Das WAF wurde auf unserem Server deaktiviert.

Ein Test über VPN aus unterschiedlichen Ländern bestätigt das zunächst.

JTL Support:
wir setzen für Ihren Shop sowohl Link11 als auch die WAF als Botfilter ein. Ich habe nun die WAF für Ihren Shop deaktiviert, um das beschriebene Verhalten zu verhindern.
Wenn Sie den Shop selber hosten, ohne das ein Bot-Filter besteht, würde das Verhalten zwar nicht auftreten, allerdings müsste dann sichergestellt werden, dass Ihr Shop den Bot-Traffic verkraftet. Da im Verlauf des letzten Jahres immer mehr Bots aktiv sind, mussten wir im JTL Hosting dafür erforderliche Gegenmaßnahmen ergreifen.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.
 

Harald Weingaertner

Sehr aktives Mitglied
2. Oktober 2006
435
135
Einer unserer Kunden kann gar nicht mehr auf den Shop zugreifen, weil sein VPN vom JTL Hosting geblockt ist. Der bekommt einfach die Meldung "Access Denied".

Laut JTL Support ist VPN aber eh nur "Bad Actors" über VPN unterwegs.

Was sagt man zu sowas? Mir ist jedenfalls dazu nichts mehr eingefallen. Mein Shop-Hersteller entscheidet jetzt, ob er meinen Kunden in den Shop lässt oder nicht. Alles nur noch Wahnsinn hier. Statt einfach die IP wieder freizugeben, "kann man nichts machen".
 
  • Traurig
  • Wow
Reaktionen: sjk und hula1499

css-umsetzung

Offizieller Servicepartner
SPBanner
6. Juli 2011
8.321
2.511
Berlin
Firma
css-umsetzung
Das eigentlich Problem verursachen ja die Bots, indem sie die Merkmalfilterung und Suchen überstrapazieren, dagegen kann man etwas tun.
Das aktuelle Vorgehen mit dem Captcha usw. kaschiert nur das eigentlich Problem welches der Shop hat.
 

sjk

Sehr aktives Mitglied
16. Januar 2019
588
264
Ich hab gerade aus Interesse mal einen Shop im JTL- Hosting rausgesucht und mit VPN bisschen rumgeklickt. Ich bekam jetzt immer die Challenge serviert, sobald meine IP nicht zu EU + Schweiz gehört.

Die Challenge sieht übrigens so aus:
JTL-WAF.gif

Eingeschränkte Sehkraft? Epilepsie? BFSG schonmal gehört? Oder einfach der gesunde Menschenverstand? Kein Wunder will Morimus Kunde nach dem Ding lieber nicht mehr dort einkaufen.

Nicht nur hat man keinen Einblick in die Parameter der WAF geschweige denn diese anpassen oder Statistiken einsehen zu können, nee, die Challenge ist auch noch besonders unangenehm, sieht aus wie ein Vibecode-Tailwind-SaaS-Template (warum nicht Nova Styling, Shoplogo o.ä., um dem Besucher wenigstens ein Quäntchen Vertrauen zu entlocken??) und ziemlich sicher unter dem BFSG abmahngefährdet. Unglaublich.

Wenn man an die falsche Stelle zieht? Ne weiße Seite mit Challenge failed: wrong position, sieht aus wie ein HTTP error. Da geht dann plötzlich nur noch Englisch, dafür fehlt aber auch der CTA. Jetzt kann ich mich als Besucher auf den browser back button verirren und bekomme noch einen Versuch, aber wahrscheinlich bin ich einfach schon lange weg.

In diesem Sinne, schönen Feierabend und bin ich froh, den Hoster gewechselt zu haben.
catjam-cat.gif
 
Du musst Dich einloggen oder registrieren um hier antworten zu können.
Top Bottom