Neu Webstollen EU-Cookie Plugin ab 1.7. nicht mehr für Shop4 ?

[MichaelH]

Nachdem sich Mails häuften mit Kunden die sich nicht mehr anmelden bzw. ihre Bestellung nicht aufgeben konnten, war mir aufgefallen, dass dieses Plugin "inkativ" war.
Es scheint so, als ob der Shop4 in der neuesten Plugin-Version einfach rausgenommen wurde, obwohl ich eine unlimitierte Lizenz für Shop4 gekauft habe ?
Ich selbst habe das Plugin nicht aktualisiert.
Es scheint so als ob das Plugin nach Hause telefoniert und aus irgendeinem Grund dann gar nicht mehr läuft.
Im Backend kann das Plugin nicht mehr so einfach deaktiviert werden, da gar nichts mehr funktioniert in dem Plugin.

Die Änderung kam quasi über Nacht, ich vermute ab 1.7.2024.

Haben andere das gleiche Problem ?

Aktuell gibt es nur die Lösung das bezahlte Plugin zu deaktivieren und sich vermutlich ein anderes zu kaufen ?!???

 

[MichaelH]

Die Antwort kam schnell, dafür mal Lob von meiner Seite, aaaaber ...

"Leider ist der JTL- Shop 4 seit längerem EOL (end of life). Das wurde auch bereits mehrfach angekündigt. Ebenfalls EOL sind sämtliche JTL-Shop 4 Plugins und auch PHP 7.
Die Nutzung dieser Technologien birg ein enormes Sicherheits- und Haftungsrisiko, da öffentlich bekannte Sicherheitslücken enthalten sind, welche auch bereits ausgenutzt wurden.
Ein rechtssicherer Betrieb ist damit nicht möglich. Ebenso erhältst du von keiner Seite mehr Support.
Wir empfehlen dringend ein Update auf JTL-Shop 5.
In Ausnahmefällen können wir anbieten, das Plugin in euren Shops manuell wieder zu aktivieren. Dazu ist ein Eingriff in das Plugin per FTP Zugang notwendig.
Dies können wir über unseren pauschalen Premium Support (einmalig 249,00 EUR zzgl. MwSt.)"

Ich hätte nicht gedacht, dass ich mich mit Lizenzbedingungen für ein Plugin mal auseinandersetzen muss.
Gekauft für Shop4. Und nun funktioniert es nicht mehr, weil JTL (?) das EOL für Shop4 verkündet hat ?

Was hat das bitte mit meinem Shop4 und meinem Plugin für Shop4 zu tun die unverändert weiter laufen können - auch ohne Support ?
Ich habe das Plugin nicht aktualisiert und auch sonst nichts geändert.

Wie ist hier eure Sichtweise ?

 

[webstollen]

@MichaelH Ich bedaure, dass du hier so unzufrieden bist. Jedoch haben wir das EOL unserer JTL- Shop 4 Plugins Mitte 2022 angekündigt. Die Plugins konntest du dann immer noch sehr lange nutzen, bis wir die Lizenzserver deaktiviert haben.

Das Problem ist, dass wir kein System, welches potenziell ausnutzbare (und öffentlich bekannte) Sicherheitslücken aufweist mehr unterstützen können. Das hat mehrere Gründe (auch rechtliche).

Klar, das ist für dich nicht gerade schön, weil du kein Update auf Shop 5 machen möchtest (würde ich aber auch in deinem Sinne sehr empfehlen, da du mit deinem Setup nicht rechtssicher unterwegs sein kannst und wahrscheinlich ähnliche rechtliche Probleme hast wie wir).

Cybersicherheit ist keine Aufgabe, die man auf die leichte Schulter nehmen sollte, die Strafen und potenziellen Schäden, die hier auftreten können, sind relevant.

Dennoch haben wir dir angeboten das individuell und manuell zu lösen, indem wir das Plugin in deinem Shop anpassen (Codeanpassung).
Das ohne Gewähr und ohne weiteren Support, aber technisch könntest du dann auf eigene Gefahr weiterarbeiten, auch wenn wir das nicht empfehlen.

Das bedeutet Aufwand für unser Team, deshalb kostenpflichtig.

Ich hoffe hier auch auf Verständnis für unsere Seite, gerne schreibe ich dir auch nochmal persönlich.

SG, Michael

 

[NETZdinge.de]

Also ich kann nur für mich und meine Plugins sprechen, aber ich klemme niemandem meine Plugins ab… Support gibt’s natürlich auch keinen mehr beziehungsweise nur kostenpflichtig, aber solange es läuft, läuft’s…

 

[NETZdinge.de]

Die Sicherheitsbedenken und rechtlichen Einwände sind aber natürlich korrekt. Ein Update auf die aktuelle Shop Version ist dringend geboten!

 

[webstollen]

Klar, wir möchten das ja auch kulant im Rahmen der Möglichkeiten handhaben. Abklemmen möchten wir keinen.
Damals gab es ja noch keinen JTL Extensionstore, weshalb wir unsere eigene Lösung aufbauen mussten. Wir haben uns für eine bequeme Lösung für die Kunden entschieden, mit der damals schon ein Update auf Knopfdruck möglich war.

Dazu gab es einen Lizenzserver, der das alles managte. Diesen mussten wir aber irgendwann abschalten und haben das auch sehr weit im voraus angekündigt, bevor der 2023 abgeschalten wurde. Die Plugins liefen dabei weiter, bis sie einen Lizenzcheck durchführten (unterschiedliche Intervalle, kann Monate dauern).

Und entgegen unserer Empfehlung finden wir eine Lösung für jeden Kunden, damit das Setup ( Shop 4, Shop 4 Plugin und PHP 7) weiterlaufen kann.
Dass wir dafür ein Entgelt aufrufen gefällt nicht jedem, das ist mir klar, wir sprechen aber mit jedem individuell und sind immer verhandlungsbereit.

Also einfach persönlich mit uns sprechen - hilft immer

LG, Michael

 

[MichaelH]

Die Reaktion war schnell, eine Lösung ist / wäre da und mir geht es nicht um's Geld.

Unschön ist aber, dass der Shop Probleme bekam da Kunden nicht mehr bestellen konnten, nicht alle, aber manche.
Die Problemsituation war mir nicht bewusst, denn kein anderes Plugin machte bislang ein Problem.

Dies muss mit Cookies zusammenhängen die beim Kunden noch gespeichert sind, im Inkognitofenster funktioniert der Shop bei 1 Testkunden problemlos, im normalen Modus aber nicht - obwohl das Plugin mittlerweile deaktiviert ist.

Auch halten wir unseren Shop so einfach wie möglich, Shop5 wäre nett, würde aber optisch auch nicht anders aussehen - nur eben moderner ...
Alles zusammen nicht so toll.

Ein schneller Wechsel auf Shop5 ist nicht möglich.
Unser Shop wird laufend rechtskonform geprüft, von daher sehe ich auch keinen Zwang für einen Wechsel.

Doch danke für eure Meinungen ! Werde noch drüber nachdenken ...

 

[css-umsetzung]

Also ich kann nur für mich und meine Plugins sprechen, aber ich klemme niemandem meine Plugins ab… Support gibt’s natürlich auch keinen mehr beziehungsweise nur kostenpflichtig, aber solange es läuft, läuft’s…

Sehe ich genauso, unbegrenzte Laufzeit ist unbegrenzte Laufzeit, die Grenzen sind dann nur Shop oder PHP seitig, sprich dein Anbieter schaltet php 7.4 ab, dann kann mein 4er Plugin zwangsläufig nicht mehr funktionieren und es gibt keine Nachbesserung für 4er Shop Plugins (zum Glück läuft der ja auch nur bis 7.4 )

Gravierende Fehler würde ich aber auch im 4er Shop noch beheben.

 

[MichaelH]

Es gibt schon Gründe warum die geplante Umstellung auf Shop5 immer noch dauert ... doch man sollte niemand einem Zwang aussetzen.

 

[MichaelH]

Aktuelle Situation:
Meldet sich ein Stammkunde an, dann klappt das.
Sobald dieser jedoch etwas anklickt wird er vom Shop automatisch wieder rausgeworfen.
Warum Stammkunden ? Da muss wohl noch was in seinem Browsercache sein das Probleme verursacht.
Tolle Situation und das wegen einem Plugin das nicht mehr installiert ist ?
Heute sitze ich ab 10:00 Uhr den ganzen Tag im Auto, ich liebe solche Situationen.

 

[gigi80]

Shop 4 ist lange abgekündigt irgendwann sind die Kosten für einen Lizenzserver nicht mehr rentabel. Verstehe ich voll. Genau die ankündigungen für PHP versionen. Wird mit der POS ja auch so. Geht dann nur noch Andorid 8 aufwärts, alle kunden mit 4 Jahre alten Kassen die auf 7.1 laufen haben dann pech. Neue Hardware muss dann her.

 

[makle]

Ist das nicht sogar grob fahrlässig, noch einen JTL- Shop 4 mit PHP 7 zu betreiben? Immerhin gibt es bekannte Sicherheitslücken in den Systemen. Kann denn der Käufer hier überhaupt noch sicher einkaufen?
Hier geht es ja sogar noch über personenbezogene Daten hinaus bis hin zu Payment Daten.

@MichaelH Hast du das juristisch abgeklärt, wie sich das verhält, in so einem Fall?

Mir geht es tatsächlich eher um das grundsätzliche beim Einsatz von EOL Software

 

[css-umsetzung]

Es ist auch grob fahrlässig noch Windows 7 zu verwenden, trotzdem drückt MS nicht auf den Knopf damit der Rechner nicht mehr hochfährt .

 

[MichaelH]

Also aktuell ist der Stand so:
Das Plugin wurde komplett entfernt, alles gelöscht.
Shop- Cache natürlich gelöscht.

Doch immer noch melden sich Kunden (Stammkunden) die nicht mehr bestellen können, weil sie entweder sofort wieder ausgeloggt werden oder im Bestellabschluss "hängen" bleiben.

Es gibt die Aussage "es liegt am Browser-Cache" des Kunden.
OK, das mag sein, aber wie bitte kann ein Browser-Cache mit alten Daten eines Plugins das es im Shop gar nicht mehr gibt derartige Probleme verursachen ?

Hat da jemand eine Idee dazu ?!?
Werden/wurden da Einstiegspunkte im Shop missbraucht, denn ein solches Fehlverhalten darf es doch nicht geben ?
Muss man diesen Einstiegspunkt ggf. anlegen, überbrücken oder verbiegen damit die alten Daten im Cache des Kunden Ruhe geben ?

Mein Sysman und Shopfachmann ist keine Hohlbirne sondern ein Fachmann, aber er sagt dass er aktuell nicht mehr tun kann als er getan hat.

Ich hatte in den vielen Jahren schon etliche Plugins die ich verwendet, atkualisiert oder abgeschaltet oder deinstalliert habe, doch ein solches Problem hatte ich nie.

 

[css-umsetzung]

Ändere mal bitte die Template Version von deinem Child Template. Denke aber daran das du das dann im Bereich Templates auch aufrufst und einmal speicherst.

 

[MichaelH]

Ändere mal bitte die Template Version von deinem Child Template. Denke aber daran das du das dann im Bereich Templates auch aufrufst und einmal speicherst.

Hallo Andreas, du hast PN. SG

 

[css-umsetzung]

Um das mal abschließend zu klären

Man kann nur noch vermuten, da wir das Plugin ja nicht noch mal aktivieren konnten um es zu testen, und weil man den Code selbstverständlich nicht einsehen kann um das nachzuvollziehen.
Es sieht aber so aus, als ob das Plugin sich in die Cookie Verwaltung eingemischt und den cookie vom JTL Shop dauerhaft (und nicht nur für die offene session) gesetzt hat.

Da Michael seinen Shop in einem Unterverzeichnis laufen hat und sein Cookie auf dem Pfad / lief, das Plugin aber einen Cookie auf dem Pfad /shop laufen lief, kam der Shop nach dem Login mit den Cookies durcheinander und der Bestandskunde wurde automatisch wieder ausgeloggt, bzw. ging seine Session dann direkt wieder verloren.

Das ist uns eher zufällig aufgefallen, das es da immer zwei Cookies gab bei Bestandskunden und der /shop Cookie immer stehenblieb, aber nachdem wir das gesehen haben konnten wir reagieren und den Cookie Pfad im Shop auf /shop anpassen wodurch das Problem nun behoben ist.

Das was bei Michael passiert ist, ist ein Sonderfall, weil er seinen Shop eben in einem Unterverzeichnis laufen lässt, das sollte also bei anderen Shops, die im Hauptverzeichnis laufen, kein Problem sein, wenn das Plugin deinstalliert wird.

Shop 4 ist lange abgekündigt irgendwann sind die Kosten für einen Lizenzserver nicht mehr rentabel.

Was glaubst du wie teuer ein Lizenz Server ist
Das hört sich nach viel an, ist aber letztendlich nichts anders als eine Datenbank mit ein wenig php drum herum.
Ich kann meinen Lizenz Server auf jedem 3,-€ Hoster laufen lassen ohne Performance Probleme zu bekommen.

 

[MichaelH]

Und von meiner Seite - der Support war flott mit Antworten, aber letztlich wäre das Problem nie gelöst worden.

Vielen Dank an Andreas der sich spontan dahinter geklemmt hat und wir über Teamviewer und einem Stammkundenkonto Schritt für Schritt Möglichkeiten ausschließen konnten warum letztlich mit den Cookies etwas nicht stimmen kann. Dass es 2 Shop-JTL-Cookies gab war dann der erste Hinweis, dann ging es darum herauszufinden warum.
D.h. ohne Lösung wären alle diese Stammkunden-Konten die in ihrem üblichen Browser bestellen wollten (mit gesetzten Cookies) unbrauchbar geworden. Wir hätten laufend Aufwand gehabt und ggf. hätten sich einige Kunden gar nicht gemeldet, weil sie sich gedacht hätten "So ein Mist-Shop, dann bestelle ich eben woanders".
Wir haben über 140.000 Kundenkonten und mehr als 50% Wiederbesteller.

Aufwand: 70 Minuten

Das nenne ich Support und Problemlösung !

 

[makle]

Hey Michael, für dich persönlich finde ich es ja klasse, dass du das lösen konntest, ehrlich. Aber machst du dir keine Sorgen, dass du weiter ein System nutzt, für das seit Jahren keinerlei Sicherheitsupdates mehr veröffentlicht wurden ( Shop 4, PHP 7, evtl. deine MySQL Datenbank und wohl auch die WS Plugins)?

Dann machst du das alles hier auch noch öffentlich....

140.000 Kunden in dem System???? Was ist mit deren Daten? Sind die ausreichend geschützt? Mich macht das fast ein wenig sauer, wie fahrlässig du hier darüber weggehst, wenn ich daran denke, was ich für einen Aufwand betreibe, da fühle ich mich schon wie der Gelackmeierte, weil ich immer versuche alles aktuell zu halten und meine Kunden zu schützen.

Ich kann nur hoffen, dass hier keiner mit bösen Absichten mitliest und deine Shop URL herausfindet...☹️

 

[MichaelH]

Weißt du, ich bin schon lange von dem Irrglauben befreit, dass neue Software-Versionen einen Fortschritt darstellen.
Fortschritt für wen denn ?
Blink-Blink-Gedöns ohne praktischen Nutzen für irgendwen.

Jede Version ist noch besser und noch toller, alleine am Beispiel des Shop-Backend-Menüs, jedes mal als Verbesserung angekündigt ist es nur ein Verschieben von hier nach da und die Sucherei geht wieder los, der Nutzen ?

Wenn du immer alles aktuell hältst und dich in einem Update-Zwang siehst, beweist es nur, dass die Software die du einsetzt ebenfalls nicht sicher "wäre" und dein Bemühen insofern fast sinnlos.
Kennst du Sissiphus ?
Denk' mal drüber nach.

Und wenn zu deinen Versionen gerade Leaks veröffentlicht werden, dann ist es für manche Leute geradezu eine Einladung dieses Tor für aktuelleste modernste und tollste Systeme zu nützen die mit viel Geld gewartet werden von Firmen die viel Geld und viel zu verlieren haben ?
Jetzt, nicht morgen, denn deine Updates hinken ja immer hinterher, sofern sie das Problem auch wirklich beheben und nicht gleichzeitig ein neues Tor auftun.

Ich kann nur hoffen dass keiner deine Shop-URL herausfindet und noch ungelöste Tore nutzt um deine Daten zu klauen, denn es scheint sich zu lohnen.