Neu Wie sicher ist ein JTL-Shop oder übertreibt siwecos.de

[ruth]

Wir dachten, die Einbindung des Logos von siwecos.de erhöht das Vertrauen in unseren Shop - Kunden sollen ja Zertifikate lieben.

Ich habe es ganz schnell sein lassen, zeigt der Scan doch einfach zu viele Sicherheitsprobleme:

• Die verwendete JavaScript-Bibliothek jquery mit der Version 1.12.0 in DOM-Node src mit dem Inhalt //code.jquery.com/jquery-1.12.0.min.js wurde erkannt. Für diese Version ist eine Schwachstelle bekannt.
• Content Security Policy Inaktiv
• HSTS Schutz Fehler
• HTTP-Header X-Frame Optionen nicht gesetzt.
• Cross-Site-Scripting Schutz nicht aktiviert oder unzureichend konfiguriert.

25 % von möglichen 100 % sagt der Scan.

Nun ich weis nicht was das all bedeutet und was zu tun ist. Ich bin davon ausgegangen, dass die aktuelle stabile Version des Shops (also bei uns 4.05 (Build:6, oder irre ich mich da?) außreicht um auf der sicheren Seite zu sein.

Sind wir auf der sicheren Seite und siwecos.de übertreibt oder ist unser JTL-Shop von Hause aus einfach unsicher?

 

[ag-websolutions.de]

außreicht um auf der sicheren Seite zu sein.

reicht auch völlig aus ...

Kunden sollen ja Zertifikate lieben.

also eigentlich lieben Shop-Kunden Artikel die man kaufen kann und das noch zu einem günstigen Preis bei super Service

lass dich von solchen "Tools" nicht kirre machen, vor allem wenn ...

Nun ich weis nicht was das all bedeutet u

 

[elevennerds.de]

Da wird doch eher das Hosting abgeklopft, als die Shop-Software. Also richte diese Frage bitte direkt an Deinen Hoster.

 

[ruth]

Da wird doch eher das Hosting abgeklopft, als die Shop-Software. Also richte diese Frage bitte direkt an Deinen Hoster.

- jquery wird über header.tpl von Evo geladen
- Das Problem HTTP-Header X-Frame löst man wohl über die .htacess (https://scheible.it/x-frame-options) - die kommt aber doch auch von JTL und nicht vom Hoster.

Hilfreich ist womöglich auch

https://forum.jtl-software.de/threads/schlechte-bewertung-der-sicherheit-des-jtl-shops.110280/

 

[_simone_]

Auf der unten verlinkten Seite sind ein paar Tools zusammengestellt, die manchem Shop-/Webseitenbetreiber schlaflose Nächte bereiten könnten.
https://www.kuketz-blog.de/online-scanner-tools-fuer-sicherheit-und-datenschutz/

 

[ruth]

Es ist wohl recht einfach die Probleme zu lösen:

- in /templates/Evo/layout/header.tpl jquery-2.2.4 einbinden / so um die Zeile 81
- dann half: https://julia-vicentini.de/blog/http-security-header-fuer-die-htaccess-datei/

Was ich nicht verstehe ist hier die Zeile:

Header set Content-Security-Policy "default-src 'none'; frame-src 'self'; font-src 'self'; img-src 'self'; object-src 'self'; script-src 'self'; style-src 'self';"

Was muß man da ändern?

 

[vitalmarcel]

83% Jippi

 

[ruth]

94 %

Nur noch Content Security Policy ist inaktiv.

 

[ruth]

94% mehr wird es nicht, weil Content Security Policy inaktiv bleibt. Felix Moche schreibt hier warum dem so:

https://forum.jtl-software.de/threads/observatory-sicherheitspruefung-fuer-webseiten.92187/

 

[ag-websolutions.de]

- in /templates/Evo/layout/header.tpl jquery-2.2.4 einbinden

Ääähmmmmmm .....

1.) Man ändert keine Original-TPL-Datei sondern legt ein Childtemplate an

und

2.) Ich wäre äußerst vorsicihtig eine nicht von JTL getestete / frei gegebene jquery-Version zu verwenden.
Der Shop nutz sehr intensiv die jquery-Bibliotheken ... wenn diese sich von Version zu Version geändert haben ohne dass der Shop-Code der diese Bibliothek nutzt ebenfalls angepasst wurde, dann knallt es ganz gewaltig