und genau hier ist der Unterschied. Wenn man ein eigenes Zertifikat hat, so bleibt die Verbindung auf dieses Zertifikat permanent bestehen, sobald man über SSL unterwegs ist. Bei einem Proxy wird nur die Übertragung (weniger als 1 Sekunde) verschlüsselt übertragen (was ja im Grunde auch reicht.) Wenn Du auf meiner Seite mal Beispiel bei Kontakt den Browser aktualisierst (F5) und oben in die Adresszeile schaust, so siehst Du ebenfalls das Schloß..., nur eben kurz. Nix desto trotz, werde ich mir ebenfalls demnächst mal ein eigenen Zertifikat anschaffen. Wirkt einfach professioneller!
Mein Checkout Funktioniert auch mit Dannys toller Idee Nachtrag: ich habe aber auch keine { in der url.
Wer weiß wieviel Kunden dir dadurch durch die Lappen gegangen sind weil du es noch nicht hast. Die Kosten sind über schaubar. 20€ im Jahr bei der günstigsten Variante und nochmal ne Jahresgebühr für die IP. Dann scheint es irgendwelche Konflikte in Verbindung mit meinem "IP-Blocker" zu geben. Werde das nochmal test.
Wo bezahlt man denn 20€ im Jahr? Das wäre ja toll! ich bin bei all-inkl.com und da wird ein Zertifikat für 99,-/Jahr oder 159,-/2Jahre angeboten. Bei externen Zertifikaten werden dann 30,-€ Bearbeitungsgebühr pro Jahr fällig.
Schau dir mal die Angebote bei do.de an. Für SSL setzt sich ein Kundenberater mit Dir in Verbindung. Ich hatte zwei Angebote. 20€ und 44€. Das für 44€ hab ich dann genommen. Frag mich nicht warum. Lag wohl in meinem Budget. Eigene IP exkl. Einrichtungskosten 30€. Kosten für Einrichtung 12€. Webspace 3,49€/Monat. unbegrenzter Datentransfer, FTP-Zugriff, 64 MB RAM Domain-Support Wildcard-Subdomains, mehrere Domains möglich, externe Domains E-Mails POP3, IMAP, intelligenter Spamschutz, Autoresponder Technologien PHP 5 inkl. PEAR, MySQL, Python, SSI, CGI, PERL Web-Zugriff phpMyAdmin, WebMail, WebFTP Server-Features .htaccess, passwortgeschützte Verzeichnisse, mod_rewrite, eigene Fehlerseiten Verwaltung Confixx 3.3 Professional, Webalizer Vorinstallierbare Anwendungen Drupal, WordPress, Joomla, Mambo, MovableType, osCommerce, Gallery, phpBB, MediaWiki Zufriedenheitsgarantie 24/7 Überwachung, Support via Festnetz, E-Mail und Ticketsystem Leistung Preis/Monat Einrichtung Laufzeit Eigene IP-Adresse 2,50 € 12,00 € 12 Monate 1 zusätzlicher FTP-Benutzer -- 2,00 € -- Mehrverbrauch des Speicherplatzes 0,10 € pro Tag pro angefangenem Gigabyte
Ich merke gerade, dass ich hier öfter mal ins Forum gucken sollte... Aktuell sind bezüglich Gambio GX2 keine Risiken bekannt, bis auf die Schwachstelle für die bereits seit Wochen ein Patch vorliegt. Wie Nonito schon richtig geschrieben hat, basieren die meisten Übergriffe auf einem infizierten Computer, bei dem Zugangsdaten gespeichert wurden. Wer zum Beispiel Filezilla nutzt und die Zugangsdaten dort speichert, legt diese ungeschützt und unverschlüsselt auf dem Rechner ab. Angreifer zielen bei infizierten Systemen regelmäßig auf derartige Informationen ab, um Zugriff auf den Server, sowie auf diverse Benutzerkonten, Kreditkarten usw. zu erhalten. Ich erlebe sehr oft, dass Webmaster über Hackerangriffe auf Webseiten/Shops/Foren usw. klagen und zunächst eine Schwachstelle auf dem Server vermuten, sich dann aber herausstellt, dass der PC Besuch von "feindlichen Pferdchen" hatte. Man sollte also auch seinen PC regelmäßig kontrollieren, um ggf. Übergriffen vorbeugen zu können. Wer in seine Logs guckt und dort feststellt, dass ein Angreifer/Bot auf der Suche nach möglichen Schwachstellen war, der muss nicht gleich die Alarmglocken schlagen. Derartige Versuche stehen in der Regel auf der Tagesordnung, sind aber für Nutzer des Gambio Shopsystems eher mit Gelassenheit zu betrachten. Die Bots suchen vermehrt nach Schwachstellen in sehr bekannten Anwendungen wie Wordpress und Joomla!. Wer sein Shopsystem immer schön aktuell hält und auch andere Anwendungen auf dem gleichen System regelmäßig kontrolliert und aktualisiert, der kann sich in den meisten Fällen gelassen zurücklehnen. Und was soll das bringen? Bei der Methode reduzierst du eigentlich nur die Ladezeit. Für Sicherheit sorgt das Ganze allerdings nicht. Abgesehen davon, werden hier nur GET Parameter überprüft. Der Angreifer würde in dem Fall auf POST umswitchen und schon geht das Spielchen weiter. Lediglich "{" abzufangen bringt aber sowieso überhaupt nichts, da hier keine einzige - wirklich gängige - Angriffsmethode (SQLi, bSQLi, LFI, RFI, XSS, ...) abgefangen wird. Wir haben hier bereits ne Art Firewall für Gambio GX2 liegen. Da diese aber sehr aggressiv arbeitet und damit auch möglichst jede Attacke erkennt, ist allerdings noch ein wenig Wartezeit angesagt. Sollte es in den Testläufen keine Probleme geben, wird es das Ganze mit einem Verwaltungs- und Überwachungstool (ähnlich wie bei Sicherheitssoftware für den PC) geben. Ich werde hier natürlich weiter mitlesen und gerne auch Hilfestellung leisten. Cheers!
Hi, Also diese Aussage ist so nicht ganz korrekt. Diese Lösung bezieht sich einzig und allein auf die geposteten Angriffsversuche, in denen der Angreifer Zugriff auf den php Interpreter versucht zu erhalten, um diesen im Nachgang zu verändern. Dies ist nun somit nicht mehr möglich...wie auch wenn das dafür benötigte "{" herausgefiltert wird. Sicherlich ist diese Lösung bei weitem kein Allheilmittel aber eine wirkungsvolle Lösung gegen die hier beschriebenen Attacken. In diesen Fällen bringt die Lösung schon einiges....wie bereits weiter oben beschrieben, kann ich nunmehr seit 48 Stunden über völlige Ruhe berichten! Natürlich könnte man hier auch noch auf POST o.a. erweitern, jedoch war das bisher nicht notwendig, sieht man sich doch mal die logs genauer an. Ich zumindest kann in Sachen POST nichts feststellen!
Hallo Danny, bei mir wurde in der Lightbox die error.html ausgegeben. Habe alles vorerst rausgenommen
Vielleicht kann man das an Gambio adressieren, dass ausgerechnet diese fragwürdigen Ein- und Ausleiter "{" "}" da zukünftig nicht mehr benutzt und durch andere Zeichen ersetzt werden. Wäre der Sicherheit hinsichtlich dieser Lösung sicherlich zuträglich.
Info, das ist u.a. bei mir passiert: Ich habe in der letzten Zeit häufiger Spam Kontaktmails via Kontakt über den Shop bekommen, mit URLs und was weiß ich drin. Kann damit auch etwas eingeschleust werden? Habe ich alle gelöscht und nicht mehr vorliegen.
Sehr gut möglich!!! Was hast du den für ein Virenprogramm? notfalls auch mal das ganze Netzwerk mit verschiedenen Virenscannern prüfen und Spybot durchlaufen lassen.
Hi Christian, ja, schon klar...aber ich hätte eben direkt mal solch einen Link im Klartext gehabt.... um zu schauen, wo man ansetzen kann.