Gelöst Sicherheitsrisiko

[ion663]

Hallo

Zuerst mal ein dickes Lob an die Entwickler von EazySales - funktioniert bei mir tadellos.

Habe aber noch eine Frage zur Sicherheit. Mit dem Link

http://www.meinshop.de/xtcommerce/admin/includes/modules/eazysales_connector/install/index.php

kann jeder auf die Connector-Daten inkl. Passwort zugreifen. Kann man das unterbinden?

Vielen Dank

 

[gerhard5302]

Diese Frage habe ich mir auch schon mal gestellt. Das Problem ist ja, wenn "ganz liebe" Mitbewerber wissen, dass man mit eS arbeitet (weil man auch noch das Logo auf der Webseite hat und damit Werbung macht), können die wirklich ganz ordentlichen Schaden anrichten!

Da müßte JTL wirklich nachbessern. Denn je mehr Leute von eS wissen, umso größer ist die Gefahr!

lg
Gerhard

 

[igrimpe]

Man könnte
- das Verzeichnis per .htaccess schützen
- die datei umbenennen
- nach installation löschen

 

[Andreas Grambow]

Man könnte
- das Verzeichnis per .htaccess schützen
- die datei umbenennen
- nach installation löschen

Genau so sollte es gemacht werden. Ist auch so bei den meisten genutzten Shopsystemen :wink:

 

[gerhard5302]

done :wink:

 

[ion663]

was genau?

Verzeichnis gelöscht? oder Verzeichnisschutz?

 

[Andreas Grambow]

alles ist möglich, wobei ich es vorziehe das Verzeichnis umzubenennen.

 

[gerhard5302]

index Datei umbenannt. Man weiß ja nie....
lg
Gerhard

 

[Andreas Grambow]

das ist natürlich noch besser :wink:

 

[ion663]

aber...

wenn ich nur den Pfad hier angebe:

http://www.meinshop.de/xtcommerce/admin/includes/modules/eazysales_connector/

ohne install/index_hidden.php (umbenannt), erscheint das Directory und man kann die index_hidden.php anklicken.

Kann ich den Install-Ordner mit Verzeichnisschutz belegen oder gar löschen, ohne dass der Connector beeinträchtigt wird?

 

[Andreas Grambow]

schick mir mal den richtigen Link per PN

 

[ion663]

@Andreas: danke

bei mir war der Ordner "install" auf 755 gesetzt. Einfach Berechtigung auf 710 runtersetzen, aber nur für diesen Ordner - sonst funktioniert der Datenabgleich mit ES nicht mehr.

.../xtcommerce/admin/includes/modules/eazysales_connector/install/

 

[Thomas Lisson]

Hallo,

das Installationsverzeichnis wird nach der Installation nicht benötigt, kann problemlos gelöscht werden.

Wir werden auch noch eine kleine Prozedur einbauen, damit sich die Installationsseite nicht aufrufen lässt, wenn der Connector bereits installiert ist. Kommt dann in den jeweis nächsten Connectorversionen.

 

[flom]

finde es eigentlich ganz gut, dass es noch aufgerufen werden kann. denn so kann man auch mal auf einfache art und weise änderungen vornehmen. nur sollte eben ein schutz eingebaut werden (passwort z.b.)

 

[Andreas Grambow]

ne ist nicht gut, weil jedes mal ein neuer SyncUser dazukommt!!! dann kann es zu Problemen kommen, bzw. es ist in der Vergangenheit schon zu Problemen gekommen.