Neu Webstollen EU-Cookie Plugin ab 1.7. nicht mehr für Shop4 ?

[Wumse]

Wenn ich auf die nächste große Shopversion update, dann werde ich versuchen einen Bogen um Webstollen zu machen. Einfach Plugins deaktivieren geht überhaupt nicht! Es ist immer noch die Entscheidung des Shopbetreibers, ob und wann er updatet.

Man stelle sich vor, dass bei Windows plötzlich Edge nicht mehr startet, bevor man ein Update installiert. Und ich frage mich auch, inwiefern die Abschaltung vom Plugin angekündigt wurde. Ich musste in einem Ticket eines Dienstleisters darüber in Erfahrung gebracht werden. Man findet kurzfristig ein anderes Plugin, das noch mit Shop4 läuft. Ich würde jedoch nie auf die Idee kommen, Webstollen jetzt auch noch 250 € dafür zu zahlen, dass sie mein Plugin einfach ohne mein Einverständnis abgestellt haben.

Webstollen macht sicherlich ganz tolle Plugins. Aber in Zukunft werde ich gezwungen sein, immerzu nach einer Alternative zu suchen, um die Gefahr zu minimieren, dass in meinem nächsten Shop dann irgendwann einfach mehrere Plugins abgeschaltet werden, weil JTL meinen Shop nicht mehr supportet.

 

[NoOne]

Weißt du, ich bin schon lange von dem Irrglauben befreit, dass neue Software-Versionen einen Fortschritt darstellen.
Fortschritt für wen denn ?
Blink-Blink-Gedöns ohne praktischen Nutzen für irgendwen.

Jede Version ist noch besser und noch toller, alleine am Beispiel des Shop-Backend-Menüs, jedes mal als Verbesserung angekündigt ist es nur ein Verschieben von hier nach da und die Sucherei geht wieder los, der Nutzen ?

Wenn du immer alles aktuell hältst und dich in einem Update-Zwang siehst, beweist es nur, dass die Software die du einsetzt ebenfalls nicht sicher "wäre" und dein Bemühen insofern fast sinnlos.
Kennst du Sissiphus ?
Denk' mal drüber nach.

Und wenn zu deinen Versionen gerade Leaks veröffentlicht werden, dann ist es für manche Leute geradezu eine Einladung dieses Tor für aktuelleste modernste und tollste Systeme zu nützen die mit viel Geld gewartet werden von Firmen die viel Geld und viel zu verlieren haben ?
Jetzt, nicht morgen, denn deine Updates hinken ja immer hinterher, sofern sie das Problem auch wirklich beheben und nicht gleichzeitig ein neues Tor auftun.

Ich kann nur hoffen dass keiner deine Shop-URL herausfindet und noch ungelöste Tore nutzt um deine Daten zu klauen, denn es scheint sich zu lohnen.

So einen großen Bullshit hab ich schon lange nicht mehr gelesen. Wenn dir Features oder dessen Umsetzung nicht passen, ist das eine Sache. Eine veraltete Software lokal auf dem Rechner laufen zu lassen, ist ebenfalls vollkommen in Ordnung. Eine veraltete Software mit Kundendaten, auf die man öffentlich im Internet zugreifen kann, und die auf Basis einer veralteten Programmier-/Skriptsprache läuft ist mehr als fahrlässig. Und "strafbar", bzw. ein Verstoß gegen die DSGVO. Denn beim Schutz von Kundendaten hast du dich am aktuellen Stand der Technik zu orientieren. Und das ist Software, die EOL erreicht hat, in den meisten Fällen eher nicht. Sicherheitsfixes sind wichtig. Eine 0-Day-Lücke und eine Lücke, die seit x Jahren bekannt ist, unterscheiden sich da auch deutlich, was den Schadensersatz angeht.

 

[MichaelH]

So einen großen Bullshit hab ich schon lange nicht mehr gelesen. Wenn dir Features oder dessen Umsetzung nicht passen, ist das eine Sache. Eine veraltete Software lokal auf dem Rechner laufen zu lassen, ist ebenfalls vollkommen in Ordnung. Eine veraltete Software mit Kundendaten, auf die man öffentlich im Internet zugreifen kann, und die auf Basis einer veralteten Programmier-/Skriptsprache läuft ist mehr als fahrlässig. Und "strafbar", bzw. ein Verstoß gegen die DSGVO. Denn beim Schutz von Kundendaten hast du dich am aktuellen Stand der Technik zu orientieren. Und das ist Software, die EOL erreicht hat, in den meisten Fällen eher nicht. Sicherheitsfixes sind wichtig. Eine 0-Day-Lücke und eine Lücke, die seit x Jahren bekannt ist, unterscheiden sich da auch deutlich, was den Schadensersatz angeht.

"So einen großen Bullshit hab ich schon lange nicht mehr gelesen", da stimme ich dir jetzt einfach zu.

 

[NoOne]

"So einen großen Bullshit hab ich schon lange nicht mehr gelesen", da stimme ich dir jetzt einfach zu.

Das geht nicht. Weil das was ich schreibe nunmal kein Bullshit ist: https://www.heise.de/news/DSGVO-Bus...-Website-mit-veralteter-Software-6154208.html
https://dsgvo-gesetz.de/art-25-dsgvo/
https://dsgvo-gesetz.de/art-32-dsgvo/

Schade.

 

[MichaelH]

OK, Massa, ich bin dein Diener und unterwerfe mich deiner und anderen Meinungen. 🤣

 

[hula1499]

Einfach irgendwelche random Artikel posten ist nicht nur kontraproduktiv, man könnte ja glauben, dahinter steckt was ernstes, im Bezug auf Shop 4 ..

Dem ist nicht so:

https://www.heise.de/news/DSGVO-Bus...-Website-mit-veralteter-Software-6154208.html

hier gehts um Verschlüsselung von Kundenpasswörtern -> kein Prob im JTL Shop 4, demnach BS

https://dsgvo-gesetz.de/art-25-dsgvo/

https://dsgvo-gesetz.de/art-32-dsgvo/

0815 Part für Verarbeitung -> ebenso kein Prob im Shop 4


Schade.

 

[MichaelH]

Wie schon mal gesagt, ich habe einen SysMan und ich vertraue darauf, dass der Shop soweit sicher ist wie es auch eine aktuellere Version ist mit diversen unbekannten Lücken die laufend Updates erfordern und man letztlich tatsächlich laufend hinterherhinkt.

 

[NoOne]

Einfach irgendwelche random Artikel posten ist nicht nur kontraproduktiv, man könnte ja glauben, dahinter steckt was ernstes, im Bezug auf Shop 4 ..

Dem ist nicht so:


hier gehts um Verschlüsselung von Kundenpasswörtern -> kein Prob im JTL Shop 4, demnach BS




0815 Part für Verarbeitung -> ebenso kein Prob im Shop 4


Schade.

Hä? Hast du den Artikel nicht verstanden? Oder die Paragraphen der DSGVO-Verordnung? Natürlich gilt das nicht nur für die nicht angemessene Sicherung von Kundendaten. Der Datenschutzvorfall bezog sich in dem Fall auf die Passworte, in der Tat. Und zwar auf die Verschlüsselung per md5 ohne Salt. Was auf Shop 4 übrigens auch zutrifft. Aber der letzte Abschnitt:

"Die Implementierung einer Salt-Funktion sowie eines aktuellen, auf Passwörter ausgelegten Hash-Algorithmus, sei für das Unternehmen mit einem verhältnismäßigen Aufwand möglich gewesen, vor allem, wenn diese Funktionalität mit neueren Versionen der Software eingepflegt wird. Dies gelte ebenso für die Beseitigung bekannter Sicherheitslücken, für die Aktualisierungen bereitstehen."

Was sagt der wohl aus? Das gilt ebenso für die Beseitigung von Sicherheitslücken, für die Aktualisierungen bereitstehen. Und das wären in diesem Fall Shop 4.06.20 und vor allem Shop 5. Weil: Für Shop 4 werden keine Sicherheitslücken mehr beseitigt. Weder die bekannten, noch die unbekannten. Selbst wenn du die meldest.

Und dein 08/15 Part für die Verarbeitung betrifft Shop 4 genauso. Sicherheit der Verarbeitung, unter Berücksichtigung des Stands der Technik. PHP 7 ist nicht Stand der Technik. Die Kundendaten sind im Shop zwar verschlüsselt, aber das ist eine symmetrische Verschlüsselung. Wenn jemand aufgrund von Sicherheitslücken (nicht wegen Fahrlässigkeit des Besitzers, das ist ja wieder was anderes) an die config kommt, wo der Blowfishkey gespeichert ist, dann wars das mit der Sicherheit der Kundendaten. Gesetze gelten nicht nur für Shops, die erwischt wurden. Mit unentdeckten Sicherheitslücken in EOL-Software kann man sich da nicht rausreden. Mit unentdeckten Sicherheitslücken in Software die noch entwickelt und Supportet wird schon.

 

[MichaelH]

"Mit unentdeckten Sicherheitslücken in Software die noch entwickelt und Supportet wird schon."
Toll, da fühle ich mich gleich viel sicherer.

 

[NoOne]

"Mit unentdeckten Sicherheitslücken in Software die noch entwickelt und Supportet wird schon."
Toll, da fühle ich mich gleich viel sicherer.

Es gibt nun mal keine Software, die 100 % fehlerfrei ist. Das ist ab einem gewissen Komplexitätsgrad einfach utopisch. Aber wenn du veraltete Software einsetzt, ist das Risiko einer Sicherheitslücke ungleich höher. Weil sich Best Practices in der Programmierung ändern. Eine Software, die z.B. keine Prepared SQL-Statements einsetzt, ist inhärent anfälliger für SQL-Injections, und damit unsicherer, als eine, die das tut. Es gibt auch Komfort-Features, die es früher gab, die weggefallen sind oder radikal geändert werden mussten, weil die ursprüngliche Implementierung unsicher war. Gleiches gilt für Drittanbieter-Libraries.

Es gibt da einen Unterschied, ob es neue, unbekannte Angriffsvektoren auf eine aktuelle Software gibt, oder ob aktuelle Angriffsvektoren veraltete Software angreifbar machen, weil diese Angriffsvektoren zum Release-Zeitpunkt nicht bekannt waren. Exakt deswegen sollte man nur aktuelle und gepflegte Software einsetzen, wenn man das im Internet tut. Und am besten auch dann, wenn man generell mit dem Internet verbunden ist. Je mehr veraltet ist, desto unsicherer. Was nicht heißen soll, dass aktuelle Software zu 100 % sicher ist. Aber sie ist in den allermeisten Fällen sicherer als alte.

 

[Wumse]

Es gibt nun mal keine Software, die 100 % fehlerfrei ist. Das ist ab einem gewissen Komplexitätsgrad einfach utopisch. Aber wenn du veraltete Software einsetzt, ist das Risiko einer Sicherheitslücke ungleich höher. Weil sich Best Practices in der Programmierung ändern. Eine Software, die z.B. keine Prepared SQL-Statements einsetzt, ist inhärent anfälliger für SQL-Injections, und damit unsicherer, als eine, die das tut. Es gibt auch Komfort-Features, die es früher gab, die weggefallen sind oder radikal geändert werden mussten, weil die ursprüngliche Implementierung unsicher war. Gleiches gilt für Drittanbieter-Libraries.

Es gibt da einen Unterschied, ob es neue, unbekannte Angriffsvektoren auf eine aktuelle Software gibt, oder ob aktuelle Angriffsvektoren veraltete Software angreifbar machen, weil diese Angriffsvektoren zum Release-Zeitpunkt nicht bekannt waren. Exakt deswegen sollte man nur aktuelle und gepflegte Software einsetzen, wenn man das im Internet tut. Und am besten auch dann, wenn man generell mit dem Internet verbunden ist. Je mehr veraltet ist, desto unsicherer. Was nicht heißen soll, dass aktuelle Software zu 100 % sicher ist. Aber sie ist in den allermeisten Fällen sicherer als alte.

Es gibt immer wieder Exploits, die erst durch ein Update möglich sind. Ich bin total bei dir, wenn es um Betriebssysteme (in den meisten Fällen) geht. Aber wir reden hier von einer geschlossenen Warenwirtschaft und einem Webshop. Du schreibst "strafbar", wobei es schon einen großen Unterschied gibt, ob man Software trotz bekannter Sicherheitslücken weiter verwendet oder ob man alte Software benutzt, bei denen keine gravierenden Probleme bekannt sind.

Am Ende ist es immer die Entscheidung des Betreibers, ob und wann er updaten will und KANN. Nicht jeder Betreiber hat gerade so viel Geld auf der Tasche, dass er sich ein neues Template leisten kann. Wenn du dir deinen Webshop von extern hast anfertigen lassen, dann wird es sicherlich nicht günstig für dich werden, wenn du von 4 auf 5 oder höher wechseln willst. Und never change a running system ist immer eine Option, solange keine kritischen Sicherheitslücken bekannt sind.

Kennst du aktuell bekannte Sicherheitslücken im Shop 4? Kannst du diese erklären, damit OP besser abschätzen kann, wie kritisch ein Update auf Shop 5 ist? Mir sind jedenfalls keine aktuell bekannten Sicherheitslücken bekannt. Das Risiko scheint daher nicht wirklich höher, als mit der aktuellen Version, weil die sicherlich wieder ganz viele neue Angriffspunkte hat, die es im Shop 4 noch gar nicht gab.

Hier geht es auch nicht darum, ob OP fahrlässig handelt oder nicht. Hier geht es darum, dass das Plugin von Webstollen einfach (evtl. sogar widerrechtlich) einseitig abgeschaltet wurde, obwohl es dafür keinen nach außen bekannten Grund zu geben scheint. Die Sicherheitsbedenken von Webstollen hat in erster Linie Webstollen und nicht der Shopbetreiber. Wenn OP also ein Risiko eingehen will, dann sollte Webstollen ihm das nicht verbieten dürfen. Entweder es ist eine Life Time Lizenz oder nicht. Aber einfach einseitig das Plugin abklemmen ist nicht in Ordnung! Zumal OP dadurch ja jetzt auch deutlich mehr Probleme bekam, als einfach nur ein neues Plugin suchen zu müssen.

 

[NoOne]

Es gibt immer wieder Exploits, die erst durch ein Update möglich sind. Ich bin total bei dir, wenn es um Betriebssysteme (in den meisten Fällen) geht. Aber wir reden hier von einer geschlossenen Warenwirtschaft und einem Webshop. Du schreibst "strafbar", wobei es schon einen großen Unterschied gibt, ob man Software trotz bekannter Sicherheitslücken weiter verwendet oder ob man alte Software benutzt, bei denen keine gravierenden Probleme bekannt sind.

Am Ende ist es immer die Entscheidung des Betreibers, ob und wann er updaten will und KANN. Nicht jeder Betreiber hat gerade so viel Geld auf der Tasche, dass er sich ein neues Template leisten kann. Wenn du dir deinen Webshop von extern hast anfertigen lassen, dann wird es sicherlich nicht günstig für dich werden, wenn du von 4 auf 5 oder höher wechseln willst. Und never change a running system ist immer eine Option, solange keine kritischen Sicherheitslücken bekannt sind.

Kennst du aktuell bekannte Sicherheitslücken im Shop 4? Kannst du diese erklären, damit OP besser abschätzen kann, wie kritisch ein Update auf Shop 5 ist? Mir sind jedenfalls keine aktuell bekannten Sicherheitslücken bekannt. Das Risiko scheint daher nicht wirklich höher, als mit der aktuellen Version, weil die sicherlich wieder ganz viele neue Angriffspunkte hat, die es im Shop 4 noch gar nicht gab.

Hier geht es auch nicht darum, ob OP fahrlässig handelt oder nicht. Hier geht es darum, dass das Plugin von Webstollen einfach (evtl. sogar widerrechtlich) einseitig abgeschaltet wurde, obwohl es dafür keinen nach außen bekannten Grund zu geben scheint. Die Sicherheitsbedenken von Webstollen hat in erster Linie Webstollen und nicht der Shopbetreiber. Wenn OP also ein Risiko eingehen will, dann sollte Webstollen ihm das nicht verbieten dürfen. Entweder es ist eine Life Time Lizenz oder nicht. Aber einfach einseitig das Plugin abklemmen ist nicht in Ordnung! Zumal OP dadurch ja jetzt auch deutlich mehr Probleme bekam, als einfach nur ein neues Plugin suchen zu müssen.

Das "strafbar" stand in Anführungszeichen, weil es kein Kapitalverbrechen ist, aber Bußgelder vergeben werden können. Aber wenn es um Kundendaten geht, dann ist in der DSGVO vom "Stand der Technik" die Rede. Nun ist das ein juristisch durchaus umstrittener Begriff. Shop 4.05.9 ist jetzt aber 6 Jahre alt. Das ist in der IT-Welt eine verdammt lange Zeit. Beim Intel Core sind seitdem quasi 4 CPU-Generationen vergangen. 2018 wars 9XXX. Jetzt ist Intel bei 14XXX.

Die Warenwirtschaft ist vielleicht Closed Source. Der Shop nicht. Der Shop ist Open Source. Ich durchsuch da jetzt sicherlich nicht alle 3rd-Party-Libraries und den Shop-Code. Ich bin ohnehin kein Security-Forscher. Aber es ist durchaus davon auszugehen, dass es da Sicherheitslücken gibt. Webstollen hat ja selbst geschrieben, das "öffentlich bekannte Sicherheitslücken enthalten sind". Eventuell könnte dir Webstollen da dann sogar ein paar nennen.

Es gibt da eigentlich auch keinen Unterschied, ob Sicherheitslücken bekannt sind oder nicht. Software, die nicht mehr supportet wird, bzw. nicht mehr "Stand der Technik" ist, gilt als veraltet. Wenn das Unternehmen selbst sagt, dass die Software nicht sicher ist, dann wird der Fall nur noch schlimmer. JTL wird dir auch vermutlich nicht sagen, dass Shop 4 sicher ist. Du musst hier auch immer noch bedenken: Der Shop läuft mit PHP-Versionen, die ebenfalls schon jahrelang EOL sind. Das sind auch mögliche Einfallstore. Dazu eben die Drittanbieter-Libs, wie schon erwähnt. "Never change a running system" ist seit mindestens einem Jahrzehnt veraltet in der IT und gilt mittlerweile eher als gefährlich. Weil da schon länger eher gilt: Je älter das System, desto anfälliger für Sicherheitslücken.

Was Webstollen macht, ist mir eigentlich egal. Ein so veralteter Shop sollte einfach nicht am Netz sein. Egal ob Webstollen seinen Lizenzserver abschaltet oder nicht. Aber um auch darauf zu sprechen zu kommen: In den meisten Fällen ist mit einer Lifetime-Lizenz die Lebensspanne des Produktes gemeint, nicht die Lebensspanne des Käufers. Es gibt ein paar wenige großzügige Firmen, die Lifetime-Lizenzen tatsächlich auch über Major-Versionen hinweg anbieten, aber das ist eher unüblich. Im Kreise von JTL-Plugins sind Einmalzahlungen + Subscriptions für Support und Updates üblich. Wie Webstollen das genau handhabt, weiß ich nicht, aber ich nehme an man könnte auch für die Shop 4 Version eine neue Subscription kaufen und dann auf die Shop 5 Version updaten. Damit wäre Webstollen praktisch raus aus der Sache, weil du zu den gleichen Konditionen wie vorher auch die aktuellste Version nutzen kannst, die noch supportet wird. Die weiteren Probleme, die jetzt dadurch entstehen, sind auch unerheblich (und logisch), weil auch die zugrunde liegende Software veraltet und EOL ist. Das gehört ebenfalls zum Risiko solche Software einzusetzen. Ob eine "Aufwandsenschädigung" von 249 € + FTP-Zugriff um das Plugin so zu verändern, dass der Lizenzserver nicht mehr benötigt wird und das Plugin weiterläuft jetzt "fair" war, sei mal dahingestellt, aber ein Angebot wurde gemacht. Das hätte das Problem gelöst. Unabhängig davon, dass eine Final-Version ohne Lizenzserver-Anbindung zum Download anbieten die feinere Art gewesen wäre.

 

[Wumse]

Sprichst du von den Intel CPUs, bei denen jetzt ein Update kommt, weil ihr Microcode einen Bug hat, der dafür sorgt, dass die 13. und 14. Gen CPUs sich langsam selbst zerstören? Wäre für den Anwender kein Problem, wenn er bei der 9. Gen geblieben wäre.

Du schreibst viele richtige Dinge. Am Ende bleibt es dennoch die Entscheidung von OP, welches Risiko er eingehen will. Webstollen hat das nicht für ihn zu entscheiden.

 

[SebiW]

Ob das Vorgehen von Webstollen in Ordnung ist oder nicht ist eine Frage der Lizenzvereinbarung. Steht da bspw drinnen, dass Software mindestens bis zum offiziellen Supportende durch JTL supported wird, also während des gesamten Lebenszykluses von Shop 4, dann ist das in Ordnung. Vertrag erfüllt.
Steht da drinnen einmal kaufen und das Ding läuft bis das Universum den Kältetod stirbt, dann ist das eine saudoofe weil nicht zu haltende Zusage.
Webstollen hat natürlich auch ein Interesse daran, dass die eigenen Plugins nicht mit unsicheren Systemen in Verbindung gebracht werden. Und der Shop 4 ist nunmal veraltet, so wie Shopware 5, Oxid 4 etc etc.
Unabhängig davon ist eine warnungslose Abschaltung durch Webstollen ähnlich schlau wie die spontane Einführung des neuen Lizenzsystems durch JTL...

Man kann das alles schon noch ne Zeit künstlich beatmen, bspw indem man dafür sorgt dass die benötigten Hintergrundtechnologien wie PHP 7 Patches bekommen. Tuxcare zb supported ja alte PHP Versionen weiter.
Die entsprechende Sicherheit der Systeme aufrecht zu erhalten wird halt immer teurer. Der richtige Wechselzeitpunkt ist eine kaufmännische Entscheidung, hier ist die Frage nicht das ob sondern das wann.

Man kann auch die entsprechenden Sicherheitsprobleme auch ignorieren und einfach das Zeug weiterlaufen lassen, in der Hoffnung dass schon alles gut gehen wird. In Zeiten AI gestützter automatisierter Angriffe ist das eine wagemutige Entscheidung die zu einem Totalverlust führen kann und mittelfristig wird. Hier stellt sich primär eine ethische Frage, man riskiert ja insbesondere auch die Daten der eigenen Kundschaft.

 

[NoOne]

Sprichst du von den Intel CPUs, bei denen jetzt ein Update kommt, weil ihr Microcode einen Bug hat, der dafür sorgt, dass die 13. und 14. Gen CPUs sich langsam selbst zerstören? Wäre für den Anwender kein Problem, wenn er bei der 9. Gen geblieben wäre.

Du schreibst viele richtige Dinge. Am Ende bleibt es dennoch die Entscheidung von OP, welches Risiko er eingehen will. Webstollen hat das nicht für ihn zu entscheiden.

Das eine hat nichts mit dem anderen zu tun. Man hätte auch keine Probleme mit Meltdown gehabt, wenn man bei der Entdeckung 2017 noch eine Intel-CPU von 1994 verwendet hätte. Hättest halt ~2 Jahrzehnte hinterhergehinkt. Wäre auch veraltet gewesen. Ist aber egal, weil das dein Privater PC gewesen wäre. Wenn es um deine persönlichen Daten geht, kannst du die meinetwegen auch freiwillig an jeden rausgeben. Auch mit Schleifchen drumrum. Wenn es aber irgendwas mit den Daten von fremden Leuten zu tun hat, dann sieht die Sache anders aus. Ich hab außerdem weder behauptet das neuer = besser ist, noch habe ich behauptet das neuer = 100 % sicher wäre.

Falls tatsächlich was passiert, dann interessiert die Mehrheit der Leute erstmal nicht, dass eine veraltete Version im Einsatz war. Dann hast du als Firma erstmal wieder Aufklärungsarbeit zu leisten, um einen Imageschaden abzuwenden. Kostet Zeit, Geld und nerven. Für ein Produkt, welches du schon lange nicht mehr unterstützt. Dieses Risiko überhaupt einzugehen, ist ähnlich unfair, wie das Plugin einfach abzuschalten. Obwohl letzteres normalerweise zumindest mit einer Ankündigung einhergeht. Wenn der Support eingestellt ist, dann wird da halt nix mehr dran gemacht. Und wenn da z.B. eine Sicherheitslücke in der Implementierung des Lizenzservers auffällt, dann müsste ich die entweder beheben, was sich kostenmäßig ggf. nicht lohnt, oder ich trage ebenfalls ein gewisses Risiko, weil ich selbst veraltete Software einsetze. Also schalte ich ab. Das hat zwar Auswirkungen auf den Nutzer, aber der Grund des Abschaltens war einen möglichen/potenziellen Schaden von mir selbst abzuwenden, nicht dem Nutzer zu verbieten meine Software einzusetzen.

 

[css-umsetzung]

Um das mal abzuschließen.
Das Update auf eine neuere Shop Version ist im Gange, lässt sich aber nicht von heute auf Morgen durchführen, zum einen musste man abwarten, bis eine Version da ist die auch stabil läuft und in der dann auch sicher ist, dass die Zahlungsarten funktionieren.

Zum anderen kümmert sich jemand (nicht ich) um die Sicherheit des Servers sowie um die Sicherheit des Shops (auch nicht ich), der den JTL Code, wenn er Nachts um 4:00 Uhr geweckt wird, vermutlich auswendig runterbeten kann und einer der ersten ist, der über Sicherheitsprobleme bescheid weiß.

Die Gefahr, dass hier etwas passiert ist also Verhältnismäßig gering.

Mein Verständnis für eine Lifetime-Lizenz ist, sowie das der Shop Besitzer und auch von JTL eventuell anders, aber ich kenne die damals zugehörigen Inhalte der AGB und Lizenz Vereinbarung nicht, daher schreibe ich das aus meiner Sicht, wie ich meine eigene Lizenz Bedingungen verstehe, die auch eine Lifetime-Lizenz beinhaltet.

Eine Software von außen, ohne Erlaubnis zu stoppen, wenn vorher eine unbegrenzte Nutzungsdauer des Plugins, in der vorhandenen Version und dem dazugehörigem kompatiblem Shop vereinbart wurde, halte ich für rechtlich bedenklich. Insbesondere wenn ein Shop dadurch, quasi zum stillstand gebracht wird (hier war ich involviert und weiß, warum das erzwungene Deinstallieren des Plugins weitere Probleme (die den Bestellvorgang verhinderten) verursachte, bei denen sich auch viele Programmierer die Karten gelegt hätten).

Wenn ich mir Vorstelle, wie viele 3er Shops und 09er WAWI Versionen noch am laufen sind (habe letztens sogar von einem 2er Shop gehört), dann sind das alles Lifetime-Lizenzen die durch JTL nicht einfach abgeschaltet werden, weil JTL in diesem Punkt wohl genauso denkt wie die meisten Plugin Anbieter die ich kenne.

Mehr gibt es dazu eigentlich nicht zu sagen.

 

[Jens Falk]

Daran erinnern möchte ich, daß auch DSGVO Verstöße abmahnfähig sind.

https://www.e-recht24.de/datenschutz/11125-dsgvo-datenschutz-abmahnungen.html#

Die Nutzung eines abgekündigten Shops, dürfte darunter fallen.

Entweder es ist eine Life Time Lizenz oder nicht.

Dann schau mal, wie das zwischen Euch vereinbart wurde. Ohne die (damaligen) AGB von Webstollen konkret zu kennen, ist es üblich, daß "Life Time" bedeutet bis der Software-Hersteller das Produkt unterstützt.

 

[webstollen]

Gerne schreibe ich dazu auch nochmal ein paar Zeilen, da es ja hier auch um uns im Speziellen geht.

Zu Shop 4 Zeiten gab es für Plugins noch keine Lizenzlösung (oder Lizenzserver), deshalb haben wir eine eigene Lösung entwickelt, die viele Vorteile hatte.
Wir waren auch einer der ersten die die Plugins nicht per ioncube verschlüsselt haben.

Das war für die Nutzer einfacher (Updates) und kompatibler.
Als JTL das EOL des Shop 4 verkündete mussten wir das auch tun (das hat rechtliche Gründe), das war 2022. Dort haben wir angekündigt, dass wir den Lizenzsserver abschalten werden und kostenlose Upgrades auf JTL-Shop 5 Lizenzen angeboten.

Fairness interpretiert evtl. jeder ein wenig anders, wir haben das damals als fair enpfunden.

Wir haben den Lizenzserver aber weiter betrieben und 2023 war die Nutzung unserer Plugins dann kostenfrei möglich.

2024 mussten wir auch den Lizenzserver abschalten, da auch dieser inzwischen stark veraltet war und Sicherheitsbedenken bestanden.
Zudem verursacht er relevante Kosten und bindet Mitarbeiter. Auch wir sind nur ein kleines Unternehmen und unseren wirtschaftlichen Forderungen verpflichtet.

Viele Plugins liefen dennoch lange weiter, da ein Lizenzcheck nur zu bestimmten Zeiten vorgenommen wird.

Wir möchten niemanden "abklemmen", das Plugin funktioniert rein technisch natürlich weiter. Wir müssen dazu aber eine manuelle Anpassung am Code vornehmen (auch weil viele unterschiedliche Versionen im Umlauf sind).
Das bieten wir auch jedem an, der sich bei uns meldet. Leider ist das tatsächlich relativ aufwändig, ein Mitarbeiter muss dafür abgestellt werden, einige Prüfungen vornehmen.

Auch machen wir das prinzipiell kostenlos. Voraussetzung ist für uns nur:

- Gültige JTL-Shop 4 Plugin Subscription oder
- Gültige JTL-Shop 5 Plugin Lizenz oder Subscription

Alternativ wickeln wir es über unseren Premium Support ab (optional).

Bei JTL-Shop 5 ist ja inzwischen eine Lizensierungslösung von JTL verfügbar, hier benötigen wir keine eigene Infrastruktur mehr.

Lifetime bedeutet im Übrigen Lebensdauer des Produkts und es handelt sich um ein Nutzungsrecht.

Falls jemand JTL-Shop 4 weiter nutzen möchte, ist das natürlich sein Risiko, wir zwingen niemanden zum Update. Wir empfehlen es aber dringend und stellen uns von Haftung und Gewährleistung frei, falls jemand unserer Empfehlung nicht folgt.

Im worst Case ist also ein Neukauf einer Lizenz nötig, und das Plugin kann weiter wie bisher genutzt werden.

@Wumse : Wenn du uns künftig meiden möchtest, ist das natürlich deine berechtigte Entscheidung, ich hoffe du schreibst das aber nicht nur deshalb in ein öffentliches Forum, um uns eines damit auszuwischen?
Unseren Standpunkt und die Hintergründe habe ich nun ausführlich erklärt, gerne kannst du nun weiter über unser "Machenschaften" herziehen, ich glaube ich kann nichts dagegen unternehmen.

 

[MichaelH]

Eine Software von außen, ohne Erlaubnis zu stoppen, wenn vorher eine unbegrenzte Nutzungsdauer des Plugins, in der vorhandenen Version und dem dazugehörigem kompatiblem Shop vereinbart wurde, halte ich für rechtlich bedenklich. Insbesondere wenn ein Shop dadurch, quasi zum stillstand gebracht wird (hier war ich involviert und weiß, warum das erzwungene Deinstallieren des Plugins weitere Probleme (die den Bestellvorgang verhinderten) verursachte, bei denen sich auch viele Programmierer die Karten gelegt hätten).

Dies ist einer der wesentlichen Punkte !
Stammkunden mit gespeicherten Cookies konnten nicht mehr bestellen und wir haben viele Stammkunden.

Ohne Hilfe von Andreas vermag ich schwer zu sagen wie dieses essentielle Problem zu lösen gewesen wäre.
Die "Umprogrammierung" des Plugins wurde angeboten, ohne Sicherheit, dass dies die Lösung ist und dann hänge ich an einem Plugin fest das offensichtlich problembehaftet ist, denn das eigentliche Problem wäre nicht gelöst worden. Shop5 wird ein Update und keine Neuinstallation, unklar ob sich das Problem dann sogar in die neue Installation verlagert hätte.

Wäre im Shop5 die Cookie-Struktur gleich oder ähnlich, hätte ich im Shop5 ggf. das gleich Problem bekommen, nur hätten wir uns zu Tode gesucht bei eigenen Änderungen weil niemand an dieses Problem je gedacht hätte.

Denn das Problem bestand auch nach Deaktivierung und dann sogar kompletter Deinstallation des Plugin !!

Wie Webstollen das genau handhabt, weiß ich nicht, aber ich nehme an man könnte auch für die Shop 4 Version eine neue Subscription kaufen und dann auf die Shop 5 Version updaten. Damit wäre Webstollen praktisch raus aus der Sache, weil du zu den gleichen Konditionen wie vorher auch die aktuellste Version nutzen kannst, die noch supportet wird.

Nein, es gibt keine neue Version des Plugins welches auf Shop4 läuft. Nur mehr eine Shop5 Version.
Heißt: Friss oder stirb' als Shop4 Kunde der bezahlt hatte.

Und "kommt auf die Lizenzbedingen an", das stimmt. Aber Hand auf's Herz, wer liest diese, kann diese komplett verstehen und geht davon aus, dass z.B. ein Shop4 dann nicht mehr laufen könnte ?
Wäre es ein Shop3 könnte ich es ggf. noch nachvollziehen, doch nach meinem Wissen gibt es noch heute Shop3-Installationen mit diversen Plugin die problemlos laufen.

Meinen Respekt bekämen Firmen welche vorab ein Update für das Plugin anbieten in dem der Lizenz-Check ausprogrammiert wurde mit dem Hinweis: "Achtung, ohne Update ist das Plugin in Shop4 nicht mehr lauffähig."
Damit würde das Plugin zwar "kostenlos", doch diese Firmen haben dann ja offensichtlich keinerlei Umsatzerwartungen mehr in dieses Plugin.

 

[MichaelH]

Gerne schreibe ich dazu auch nochmal ein paar Zeilen, da es ja hier auch um uns im Speziellen geht.

Es geht nur um euch. Ich hatte bislang ansonsten mit keinem einzigen Plugin ein Problem.

Das war für die Nutzer einfacher (Updates) und kompatibler.
Als JTL das EOL des Shop 4 verkündete mussten wir das auch tun (das hat rechtliche Gründe), das war 2022. Dort haben wir angekündigt, dass wir den Lizenzsserver abschalten werden und kostenlose Upgrades auf JTL-Shop 5 Lizenzen angeboten.

Heißt für mich nicht, dass ein Plugin ohne Lizenzserver nicht mehr laufen sollte. Das ist fachchinesisch.
Ein Update auf eine kostenlose Shop5-Lizenz nützt mir nichts, wenn ich einen Shop4 betreibe.
Ob das Update kostenlos gewesen wäre, lassen wir mal so stehen - Nachweis ?

Fairness interpretiert evtl. jeder ein wenig anders, wir haben das damals als fair enpfunden.

Ich empfinde Zwang nie als fair.

Wir möchten niemanden "abklemmen", das Plugin funktioniert rein technisch natürlich weiter. Wir müssen dazu aber eine manuelle Anpassung am Code vornehmen (auch weil viele unterschiedliche Versionen im Umlauf sind).
Das bieten wir auch jedem an, der sich bei uns meldet. Leider ist das tatsächlich relativ aufwändig, ein Mitarbeiter muss dafür abgestellt werden, einige Prüfungen vornehmen.

Auch machen wir das prinzipiell kostenlos. Voraussetzung ist für uns nur:
- Gültige JTL- Shop 4 Plugin Subscription oder
- Gültige JTL-Shop 5 Plugin Lizenz oder Subscription

Das ist Lizenz-Wirr-Warr. Ich hatte das Plugin gekauft. Weiter oben heißt es der Update auf Shop5 wäre kostenlos gewesen. Hier nun heißt es auch die Anpassung wäre kostenlos gewesen, wenn man eine Plugin Shop5 Lizenz gehabt hätte.
Nun, nach diesen Angaben hätte ich ja eine Shop5 Lizenz gehabt.
Wie gesagt, für mich mehr als verwirrend.

Es ging mir nicht um die 200 Euro, das ist PipiFatz-Geld, sondern darum, dass ich nicht den Eindruck hatte das Problem wäre damit gelöst.
DENN der Shop lief nicht mehr obwohl das Plugin bereits komplett deaktiviert und entfernt wurde.
PotzBlitz, da muss ein ganz anderes Problem verursacht worden sein und so war es dann auch.

Lifetime bedeutet im Übrigen Lebensdauer des Produkts und es handelt sich um ein Nutzungsrecht.

Da lernt man was dazu.
Toll, der Hersteller entscheidet dass ein Plugin nun nicht mehr lebt und die Lifetime-Lichter gehen aus.
Da werde ich in Hinkunft einen anderen Blickwinkel auf Lizenzen haben.

Falls jemand JTL-Shop 4 weiter nutzen möchte, ist das natürlich sein Risiko, wir zwingen niemanden zum Update. Wir empfehlen es aber dringend und stellen uns von Haftung und Gewährleistung frei, falls jemand unserer Empfehlung nicht folgt.

Ich hatte nicht den Eindruck, dass hier irgendjemand für irgendetwas haftet.

Abschließend möchte ich jedoch wiederholen, dass ich rasche Antworten vom Support erhielt und auch ein Angebot. Nur konnten mich die Ausführungen darin nicht überzeugen, dass das eigentliche Problem gelöst werden würde.
Mein Instinkt sagte mir, dass da wohl was nicht stimmen kann und ich herausfinden muss was das eigentliche Problem ist.
Daher auch meine Nachfrage hier im Forum.

Nun schaue ich optimitisch auf einen Shop5-Update ohne Altlasten.

Für mich ist das Thema erledigt, wenn ihr über Lizenzen diskutieren wollt oder über Fahrlässigkeit, dann ist dieser Teil des Forums nicht unbedingt der richtige Ort.