Neu Wie sicher ist ein JTL-Shop oder übertreibt siwecos.de

ruth

Gut bekanntes Mitglied
10. März 2007
275
22
Wir dachten, die Einbindung des Logos von siwecos.de erhöht das Vertrauen in unseren Shop - Kunden sollen ja Zertifikate lieben.

Ich habe es ganz schnell sein lassen, zeigt der Scan doch einfach zu viele Sicherheitsprobleme:

  • Die verwendete JavaScript-Bibliothek jquery mit der Version 1.12.0 in DOM-Node src mit dem Inhalt //code.jquery.com/jquery-1.12.0.min.js wurde erkannt. Für diese Version ist eine Schwachstelle bekannt.
  • Content Security Policy Inaktiv
  • HSTS Schutz Fehler
  • HTTP-Header X-Frame Optionen nicht gesetzt.
  • Cross-Site-Scripting Schutz nicht aktiviert oder unzureichend konfiguriert.
25 % von möglichen 100 % sagt der Scan.

Nun ich weis nicht was das all bedeutet und was zu tun ist. Ich bin davon ausgegangen, dass die aktuelle stabile Version des Shops (also bei uns 4.05 (Build:6, oder irre ich mich da?) außreicht um auf der sicheren Seite zu sein.

Sind wir auf der sicheren Seite und siwecos.de übertreibt oder ist unser JTL-Shop von Hause aus einfach unsicher?
 

ag-websolutions.de

Sehr aktives Mitglied
29. Dezember 2009
14.548
233
außreicht um auf der sicheren Seite zu sein.

reicht auch völlig aus ...


also eigentlich lieben Shop-Kunden Artikel die man kaufen kann und das noch zu einem günstigen Preis bei super Service

lass dich von solchen "Tools" nicht kirre machen, vor allem wenn ...

Nun ich weis nicht was das all bedeutet u
 

ruth

Gut bekanntes Mitglied
10. März 2007
275
22
Da wird doch eher das Hosting abgeklopft, als die Shop-Software. Also richte diese Frage bitte direkt an Deinen Hoster.

- jquery wird über header.tpl von Evo geladen
- Das Problem HTTP-Header X-Frame löst man wohl über die .htacess (https://scheible.it/x-frame-options) - die kommt aber doch auch von JTL und nicht vom Hoster.

Hilfreich ist womöglich auch

https://forum.jtl-software.de/threads/schlechte-bewertung-der-sicherheit-des-jtl-shops.110280/
 

ruth

Gut bekanntes Mitglied
10. März 2007
275
22
Es ist wohl recht einfach die Probleme zu lösen:

- in /templates/Evo/layout/header.tpl jquery-2.2.4 einbinden / so um die Zeile 81
- dann half: https://julia-vicentini.de/blog/http-security-header-fuer-die-htaccess-datei/

Was ich nicht verstehe ist hier die Zeile:

Code:
Header set Content-Security-Policy "default-src 'none'; frame-src 'self'; font-src 'self'; img-src 'self'; object-src 'self'; script-src 'self'; style-src 'self';"

Was muß man da ändern?
 

ag-websolutions.de

Sehr aktives Mitglied
29. Dezember 2009
14.548
233
- in /templates/Evo/layout/header.tpl jquery-2.2.4 einbinden


Ääähmmmmmm .....

1.) Man ändert keine Original-TPL-Datei sondern legt ein Childtemplate an

und

2.) Ich wäre äußerst vorsicihtig eine nicht von JTL getestete / frei gegebene jquery-Version zu verwenden.
Der Shop nutz sehr intensiv die jquery-Bibliotheken ... wenn diese sich von Version zu Version geändert haben ohne dass der Shop-Code der diese Bibliothek nutzt ebenfalls angepasst wurde, dann knallt es ganz gewaltig
 
  • Gefällt mir
Reaktionen: nmueller
Ähnliche Themen
Titel Forum Antworten Datum
Neu Amazon VCS Lite: Wie erstellt ihr unter Wawi 1.11 eine vollständige IGL-/ZM-Liste über alle Verkaufskanäle? User helfen Usern - Fragen zu JTL-Wawi 0
Neu Wie ändere ich das vorausgewählte Lager bei Bestellungen? User helfen Usern - Fragen zu JTL-Wawi 0
Wie übernehme ich Artikelnamen von JTL in den neuen Kaufland Niederlande-Verkaufskanal? JTL-Wawi 1.11 1
Neu Wie stelle ich Retouren in JTL für DPD ein? JTL-ShippingLabels - Ideen, Lob und Kritik 1
Neu Wie übertragt ihr Kurzbeschreibungen nach Shopify? Shopify-Connector 3
Neu Neuer Kundencenter Account. Wie verhält sich POS damit? Allgemeine Fragen zu JTL-POS 1
Wie lange braucht ihr aktuell für die Anlage eines neuen Artikels? JTL-Wawi App 3
Neu PayPal Transaktionsversuche – Wie hoch sind eure Ablehnungsquoten? Allgemeine Fragen zu JTL-Shop 1
Neu Helfen Lösungen wie Unicorn wirklich, um die teuren Preise bei JTL zu vermeiden? Amazon-Anbindung - Ideen, Lob und Kritik 1
APP - Wie Dashboard löschen? JTL-Wawi App 1
Neu Wie soll man Weiterleitungen einrichten Exat oder GET Allgemeine Fragen zu JTL-Shop 0
Für Ihren SQL-Server wurde ein Service Pack zur Verfügung gestellt - nö, gelogen, wie kriege ich die Meldung weg? JTL-Wawi 1.11 15
Mindestabnahme Lieferant - keine Kommazahlen erlaubt - Wie gehts? JTL-Wawi 1.11 0
Wie ist euer aktuelles Fazit zur 2.02? JTL-Wawi 2.0 14
Neu XRechnung, ZUGFeRD, Was hängt wie zusammen? User helfen Usern - Fragen zu JTL-Wawi 4
Neu Aktuellste unproblematische WAWI-Version finden - wie ? JTL-Wawi - Ideen, Lob und Kritik 6
Neu Bestände in-house und beim Lieferanten + Proforma-Rechnungen, wie? Arbeitsabläufe in JTL-Wawi 3
Neu Wie aktiviere ich den richtigen EK bei freiem Wareneingang? Arbeitsabläufe in JTL-WMS / JTL-Packtisch+ 0
Neu Streichpreise oder Rabatte für Staffelpreise von einem Artikel einrichten? Wie am Besten? JTL-Wawi 1.6 0
Neu POS im Kundencenter buchen, aber wie und wo? Allgemeine Fragen zu JTL-POS 2
Neu Shipping 2.0 ist da: kurzer Überblick + Einladung zum Webinar News, Events und Umfragen 33
Neu Rechnungen zeigen Paypal Text an, obwohl er in der Vorlage nicht ausgewählt ist JTL-Wawi 2.0 3
Beantwortet Aktuelles Sicherheitsupdate - wo ist die Anleitung zum manuellen Beheben? Allgemeine Fragen zu JTL-Shop 5
Neu Ist es ohne Probleme möglich Cloudflare in der Free Version mit JTL zu nutzen? Allgemeine Fragen zu JTL-Shop 7
Neu Connector 2.1.6 ist Live ! Releaseforum 0
Neu Release Shopify-Connector 2.1.6 ist Live Shopify-Connector 32
Neu JTL Lizensserver ist nicht erreichbar eBay-Anbindung - Fehler und Bugs 0
Neu Ab welcher JTL Wawi Version ist der OnPremise REST API Endpoint POST /v2/returns oder POST /v1/returns für Create Return verfügbar? Schnittstellen Import / Export 0
Neu Die Bilanz ist da Smalltalk 0
Keine Rückmeldung in JTL Wawi sobald SQL Server Memory durch Database Cache ausgeslastet ist JTL-Wawi 2.0 9
Neu Der Inhalt / Text ist verschwunden – ist das ein Fehler JTL-Shop - Fehler und Bugs 0
Plattformabgleich Shop löschen - Wo ist das in der MySQL DB? JTL-Wawi 2.0 4
Neu seit Umstellung auf DHL 4.0 ist auf DHL Aufkleber grauer Schleier im Hintergrund JTL-ShippingLabels - Fehler und Bugs 0
Aufgeblähte DB bereinigen (dbo.POS_Bon) - Welches Vorgehen ist empfehlenswert? JTL-Wawi 1.10 11
Neu Google Shopping: g:product_type mit Attribut befüllen ist immer DE, obwohl mehrsprachig angelegt Plugins für JTL-Shop 0
Update auf Shop 5.5.0 von 5.4.1 ist der Shop nicht mehr erreichbar Upgrade JTL-Shop4 auf JTL-Shop5 4
Neu Schlüssel ist im angegebenen Status nicht gültig Einrichtung / Updates von JTL-POS 4
Tabelle tfirma in der Shop-Datenbank ist leer Einrichtung JTL-Shop5 3

Ähnliche Themen