Hallo, DrGuu hat mich in einem anderen Zusammenhang auf dieses Tool aufmerksam gemacht: (Link nur für registrierte Nutzer sichtbar.) Darin wird auch ein "Security Score" angegeben, von A (sehr gut) bis F (absolute Katastrophe). Unser Shop hat "E", weil es offenbar viele Libraries gibt die nicht ganz up to date sind und für die es bekannte Sicherheitslücken gibt? Ich kann es nicht einschätzen und frage mal einfach nach. Möglicherweise kann man einfach in einem der nächten Shop-Updates neue Versionen dieser Dateien ausliefern, falls das nicht die Kompatibilität gefährdet? Leider gibt das Tool auch nicht an, welche Dateien betroffen sind und wo. Ich glaube, dazu soll man einen Account erstellen und die Dateien von denen aktuell halten lassen. Der Gambio-Testshop ist angeblich auch betroffen: (Link nur für registrierte Nutzer sichtbar.)
Man müsste sich das mal ansehen. Da wird zum Beispiel Jquery moniert, das ist in aktuellen Shopversionen eigentlich in Version 3.5.1 ist, oder Bootstrap, das eigentlich auch neuer ist als da moniert wird.
Was ist denn bei mir noch im Vergleich zum Testshop lodash und angular? Noch nie gehört... Finde ich auch nichts von in meinen Shop-Dateien. False Positive? Ich finde in einer vendor.js eine auskommentierte Zeile: Shoutout to Angular 7. Vielleicht findet das Tool das, und es hat keine Bewandnis?
DOMXSS-Sources, DOMXSS-Sinks, verschiedene Fehler im HTTP-Header X-Frame Optionen usw.? Nix neues, nur Lücken in der Sicherheit https://siwecos.de/
Ein schneller Scan da macht mir wenig Sorgen. Hab eine meiner unzähligen Testmöhren reingeworfen und das kam raus. Er mault über Header, aber CSPs für einen Shop richtig angeben ist n schwieriger Job. Gewinnt keinen Preis, ist für mich aber ok wenn das rot ist.
Bei mir sind bei dem (Link nur für registrierte Nutzer sichtbar.) auch die DOMXSS Sachen rot. Auch egal?
Ein Update aller Drittanbieter-Libraries, sofern kompatibel, steht übrigens für die nächste Shopversion 4.5 auf dem Plan.
Ich gehe davon aus, dass der in den JavaScripten nach Schlüsselwörtern wie eval setTimeout setInterval document.write document.writeIn innerHTML outerHTML document.URL document.documentURI location location.href location.search location.hash sucht, weil mit solchen Funktionen und Objekten Code ausgeführt werden kann, der den Inhalt der Seite verändert oder die Url manipuliert. Da das Shopsystem ja keine statische Seite ist, sondern eine komplexe, moderne Web-Applikation, passiert derartiges natürlich ganz viel ganz gewollt und sicher. Problematisch wird es erst, wenn es gelingt fremden Code einzuschleusen, der sich dann an solchen Stellen reinschummelt und dann ausgeführt wird. Darauf achten wir natürlich sehr genau bei der Entwicklung des Shopsystems und lassen auch immer wieder durch externe, unabhängige Sicherheitsunternehmen unseren Code dahingehend überprüfen. Aktuell sind uns keine Sicherheitslücken bekannt und ich erkenne jetzt aus dem Bericht von siwecos.de keine offene Schwachstelle. Das sieht mir mehr nach einem Hinweis aus, dass man vorsichtig sein soll, wenn man derartigen Code verwendet. Ab der Shopversion 4.1 senden wir auch einen X-Frame HTTP-Header mit dem Wert sameorigin, so dass Inhalte des Shops nicht in iFrames angezeigt werden können, die nicht selbst auf einer Shopseite eingebunden sind.
Mit der "Lücke" in jQuery 1.12.4 hatte ich mich vor Monaten mal befasst. Das beschriebene Angriffsszenario wirkte ziemlich abwegig, so dass ich diesbzgl. keinen dringenden Update-Bedarf sehe.
Eigentlich ist wie erwähnt jquery im Shop inzwischen auch sehr viel neuer als 1.12.4... irgendwas ist da fischig.
Nein, ich auch nicht. Ich weiß nicht, welche Version auf dem Demo-Shop läuft. Ist das relevant? Ich wollte nur beitragen, dass eine angebliche Sicherheitslücke in jQuery 1.12.4 m.M.n. kein Grund ist, panikartig auf die neueste Gambio-Version zu wechseln, um in den Genuss von jQuery 3.5.1 zu kommen. Das ist alles.
Der Demoshop 4 ist uralt. Könnte sogar noch ein GX 3 Shop sein. Den hatten wir aufgesetzt, als Malibu neu entwickelt wurde.