Sicherheit und externe Libraries

Thema wurde von Anonymous, 30. April 2021 erstellt.

  1. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    19. Juni 2012
    Beiträge:
    4.831
    Danke erhalten:
    1.124
    Danke vergeben:
    947
    Hallo,

    DrGuu hat mich in einem anderen Zusammenhang auf dieses Tool aufmerksam gemacht:

    (Link nur für registrierte Nutzer sichtbar.)

    Darin wird auch ein "Security Score" angegeben, von A (sehr gut) bis F (absolute Katastrophe). Unser Shop hat "E", weil es offenbar viele Libraries gibt die nicht ganz up to date sind und für die es bekannte Sicherheitslücken gibt? Ich kann es nicht einschätzen und frage mal einfach nach. Möglicherweise kann man einfach in einem der nächten Shop-Updates neue Versionen dieser Dateien ausliefern, falls das nicht die Kompatibilität gefährdet?

    upload_2021-4-30_13-52-40.png

    Leider gibt das Tool auch nicht an, welche Dateien betroffen sind und wo. Ich glaube, dazu soll man einen Account erstellen und die Dateien von denen aktuell halten lassen.

    Der Gambio-Testshop ist angeblich auch betroffen:
    (Link nur für registrierte Nutzer sichtbar.)

    upload_2021-4-30_13-56-39.png
     
  2. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.310
    Danke vergeben:
    2.208
    Man müsste sich das mal ansehen. Da wird zum Beispiel Jquery moniert, das ist in aktuellen Shopversionen eigentlich in Version 3.5.1 ist, oder Bootstrap, das eigentlich auch neuer ist als da moniert wird.
     
  3. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    19. Juni 2012
    Beiträge:
    4.831
    Danke erhalten:
    1.124
    Danke vergeben:
    947
    #3 Anonymous, 30. April 2021
    Zuletzt bearbeitet: 30. April 2021
    Was ist denn bei mir noch im Vergleich zum Testshop lodash und angular? Noch nie gehört... Finde ich auch nichts von in meinen Shop-Dateien. False Positive?

    Ich finde in einer vendor.js eine auskommentierte Zeile: Shoutout to Angular 7. Vielleicht findet das Tool das, und es hat keine Bewandnis?
     
  4. mmatecki

    mmatecki Erfahrener Benutzer

    Registriert seit:
    24. Juni 2018
    Beiträge:
    737
    Danke erhalten:
    150
    Danke vergeben:
    75
    DOMXSS-Sources, DOMXSS-Sinks, verschiedene Fehler im HTTP-Header X-Frame Optionen usw.?
    Nix neues, nur Lücken in der Sicherheit

    https://siwecos.de/
     
  5. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.310
    Danke vergeben:
    2.208
    Ein schneller Scan da macht mir wenig Sorgen. Hab eine meiner unzähligen Testmöhren reingeworfen und das kam raus.


    upload_2021-4-30_16-6-56.png

    Er mault über Header, aber CSPs für einen Shop richtig angeben ist n schwieriger Job. Gewinnt keinen Preis, ist für mich aber ok wenn das rot ist.
     
  6. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    19. Juni 2012
    Beiträge:
    4.831
    Danke erhalten:
    1.124
    Danke vergeben:
    947
    Bei mir sind bei dem (Link nur für registrierte Nutzer sichtbar.) auch die DOMXSS Sachen rot. Auch egal?
     
  7. Moritz (Gambio)

    Moritz (Gambio) Administrator

    Registriert seit:
    26. April 2011
    Beiträge:
    5.786
    Danke erhalten:
    2.693
    Danke vergeben:
    903
    Ein Update aller Drittanbieter-Libraries, sofern kompatibel, steht übrigens für die nächste Shopversion 4.5 auf dem Plan.
     
  8. Moritz (Gambio)

    Moritz (Gambio) Administrator

    Registriert seit:
    26. April 2011
    Beiträge:
    5.786
    Danke erhalten:
    2.693
    Danke vergeben:
    903
    Ich gehe davon aus, dass der in den JavaScripten nach Schlüsselwörtern wie
    eval
    setTimeout
    setInterval
    document.write
    document.writeIn
    innerHTML
    outerHTML
    document.URL
    document.documentURI
    location
    location.href
    location.search
    location.hash
    sucht, weil mit solchen Funktionen und Objekten Code ausgeführt werden kann, der den Inhalt der Seite verändert oder die Url manipuliert. Da das Shopsystem ja keine statische Seite ist, sondern eine komplexe, moderne Web-Applikation, passiert derartiges natürlich ganz viel ganz gewollt und sicher. Problematisch wird es erst, wenn es gelingt fremden Code einzuschleusen, der sich dann an solchen Stellen reinschummelt und dann ausgeführt wird. Darauf achten wir natürlich sehr genau bei der Entwicklung des Shopsystems und lassen auch immer wieder durch externe, unabhängige Sicherheitsunternehmen unseren Code dahingehend überprüfen. Aktuell sind uns keine Sicherheitslücken bekannt und ich erkenne jetzt aus dem Bericht von siwecos.de keine offene Schwachstelle. Das sieht mir mehr nach einem Hinweis aus, dass man vorsichtig sein soll, wenn man derartigen Code verwendet.

    Ab der Shopversion 4.1 senden wir auch einen X-Frame HTTP-Header mit dem Wert sameorigin, so dass Inhalte des Shops nicht in iFrames angezeigt werden können, die nicht selbst auf einer Shopseite eingebunden sind.
     
  9. Dominik Späte

    Dominik Späte Erfahrener Benutzer

    Registriert seit:
    16. Oktober 2018
    Beiträge:
    1.171
    Danke erhalten:
    1.052
    Danke vergeben:
    366
    Mit der "Lücke" in jQuery 1.12.4 hatte ich mich vor Monaten mal befasst. Das beschriebene Angriffsszenario wirkte ziemlich abwegig, so dass ich diesbzgl. keinen dringenden Update-Bedarf sehe.
     
  10. Wilken (Gambio)

    Wilken (Gambio) Erfahrener Benutzer

    Registriert seit:
    7. November 2012
    Beiträge:
    18.737
    Danke erhalten:
    7.310
    Danke vergeben:
    2.208
    Eigentlich ist wie erwähnt jquery im Shop inzwischen auch sehr viel neuer als 1.12.4... irgendwas ist da fischig.
     
  11. Dominik Späte

    Dominik Späte Erfahrener Benutzer

    Registriert seit:
    16. Oktober 2018
    Beiträge:
    1.171
    Danke erhalten:
    1.052
    Danke vergeben:
    366
    Dein Lieblingstool erkennt auch 1.12.4 im Demo-Shop. Lass Dich nicht foppen ;)
     

    Anhänge:

  12. Anonymous

    Anonymous Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    1.757
    Danke erhalten:
    1.370
    Danke vergeben:
    305
    @Dominik Späte Kann ich in einer aktuellen 4.4.0.1 nicht reproduzieren.
     

    Anhänge:

  13. Dominik Späte

    Dominik Späte Erfahrener Benutzer

    Registriert seit:
    16. Oktober 2018
    Beiträge:
    1.171
    Danke erhalten:
    1.052
    Danke vergeben:
    366
    Nein, ich auch nicht. Ich weiß nicht, welche Version auf dem Demo-Shop läuft.

    Ist das relevant? Ich wollte nur beitragen, dass eine angebliche Sicherheitslücke in jQuery 1.12.4 m.M.n. kein Grund ist, panikartig auf die neueste Gambio-Version zu wechseln, um in den Genuss von jQuery 3.5.1 zu kommen. Das ist alles.
     
  14. Moritz (Gambio)

    Moritz (Gambio) Administrator

    Registriert seit:
    26. April 2011
    Beiträge:
    5.786
    Danke erhalten:
    2.693
    Danke vergeben:
    903
    Der Demoshop 4 ist uralt. Könnte sogar noch ein GX 3 Shop sein. Den hatten wir aufgesetzt, als Malibu neu entwickelt wurde.