Sicherheitstest und Einschätzung

Thema wurde von mathiashasselmeier, 14. Dezember 2011 erstellt.

  1. mathiashasselmeier

    mathiashasselmeier Aktives Mitglied

    Registriert seit:
    29. November 2011
    Beiträge:
    25
    Danke erhalten:
    1
    Danke vergeben:
    19
    #1 mathiashasselmeier, 14. Dezember 2011
    Zuletzt bearbeitet: 14. Dezember 2011
    Hallo,

    ein Freund von mir hat auf der Arbeit Zugriff auf ein "Sicherheitstool", dass Webseiten auf Sicherheitslücken und Probleme untersuchen kann.

    Nun haben wir das ganze über meinen Shop http://klotzaufklotz.de/ laufen lassen, und einige Ergebnisse erhalten, die wir selbst nicht wirklich einschätzen können:

    ////Wieder rausgenommen////

    Hat jemand Erfahrung mit der Einschätzung der einzelnen Parameter? Ich kann auch gerne den kompletten Test zur Verfügung stellen!
     
  2. Nonito (Gambio)

    Nonito (Gambio) Administrator

    Registriert seit:
    21. April 2011
    Beiträge:
    279
    Danke erhalten:
    134
    Danke vergeben:
    52
    #2 Nonito (Gambio), 14. Dezember 2011
    Hallo Mathias,

    die in 1. und 2. beschriebenen Cookies "__utma" und "__utmz" werden von dem Google Analytics-JavaScript gesetzt und vom Shop selbst nicht verarbeitet. Warum es hier dennoch zu Verzögerungen kommt, kann ich auf Anhieb noch nicht nachvollziehen. Eine Bedrohung für den Shop dürfte an dieser Stelle allerdings nicht bestehen. Bei den Tests mit unseren Security-Scannern haben wir aber auch die Erfahrung gemacht, dass diese gar nicht so selten einen falschen Alarm geben, was mir im Verdachtsfall aber auch lieber ist.

    Bei Punkt 3 ist der Scanner auf deine Login-Formulare gestoßen und hat dabei festgestellt, dass die Logindaten unverschlüsselt (d.h. ohne SSL) an den Server übermittelt werden und damit - zumindest theoretisch - abgefangen und gelesen werden könnten. Eine SSL-Verschlüsselung würde hier Abhilfe schaffen und nehmen Kunden auch häufig gern zur Kenntnis.

    Im Übrigen halte ich es aus Sicherheitsgründen für bedenklich den Problembericht eines Security-Scanners zusammen mit der untersuchten, eigenen URL in ein Forum zu posten, wenn man sich nicht sicher ist, ob es sich da vielleicht wirklich um schwerwiegende Sicherheitsprobleme handelt! ;-)

    Viele Grüße
    Nonito
     
  3. internet

    internet Mitglied

    Registriert seit:
    22. Oktober 2011
    Beiträge:
    10
    Danke erhalten:
    1
    #3 internet, 14. Dezember 2011
    Hallo,
    die ersten beiden stehen im Zusammenhang mit google analytics und das letzte ist nur ein Hinweis darauf, daß für den Shop kein SSL-Zertifikat installiert ist. Wenn das delay kein Zufall war, kann wirklich was dransein. Am gesamten Test hätte ich reges Interesse ;-)
    Leider setze ich kein google analytics ein und kann daher nicht versuchen die genannten Tests reproduzieren.
     
  4. mathiashasselmeier

    mathiashasselmeier Aktives Mitglied

    Registriert seit:
    29. November 2011
    Beiträge:
    25
    Danke erhalten:
    1
    Danke vergeben:
    19
    #4 mathiashasselmeier, 14. Dezember 2011
    Vielen Dank für deine schnelle Info!

    Eine Frage habe ich noch: Die SSL Verschlüsselung des Shops ist eigentlich aktiv, aber wie es scheint ist die /login_admin.php nicht damit abgesichert. Das ist die einzige URL bei der mir der Fehler angezeigt wird ... kann ich sie manuel noch absichern lassen?

    Beste Grüße
     
  5. Moritz (Gambio)

    Moritz (Gambio) Administrator

    Registriert seit:
    26. April 2011
    Beiträge:
    5.786
    Danke erhalten:
    2.693
    Danke vergeben:
    903
    #5 Moritz (Gambio), 14. Dezember 2011
    Hallo,

    du musst einfach nur darauf achten die login_admin.php über die https-Adresse im Browser aufzurufen. Dann werden auch die Daten verschlüsselt übertragen.