Hallo Leute Natürlich es ist kein Fehler von Version 2.0.12.3 oder sonstige Versionen. Ich wollte mit diesem Thema Name viele User wie möglich erreichen, und auf einen Sicherheitsmangel hinweisen. Bitte sichert euch eure Export Ordner. Weil die Export Dateien für jedermann zugänglich ist. Es ist so: beim Gambio soft im Verzeichnis EXPORT werden Daten unter dem Standard Name „Export.csv „ oder „Google_shopping.txt“ gespeichert. Und somit mit diesem Standard Namen ist für jedermann von außen zugänglich und aufrufbar. Am einfachsten ist es eine andere Name eingeben, den man nicht mal eben erraten kann. Beispiel: statt „google.txt“ und „Export.csv“ „mai_Export_hhhh2013.csv“ als Dateinamen zu wählen. Mit freundlichen Grüßen. S. Hidir
Hallo Hidir, ich kann da keinen Sicherheitsmangel erkennen. Natürlich sind Export-Dateien von außen zugänglich, das ist ja der Sinn z.B. des Google Exports. Ein nicht erratbarer Name sollte aber eine gute Lösung sein. Besprochen wurde das Thema aber auch bereits in http://www.gambio-forum.de/threads/11047-Fehlende-Produkte-beim-CSV-Export/page3 und http://www.gambio-forum.de/threads/4343-Ordner-Export-schützen?p=17135&viewfull=1#post17135. Da ich fürchte, dass Du mit deinem Titel und dem Post unnötig Shopbetreiber verunsicherst, möchte ich Dich bitten, den Thread umzubenennen und den Post anzupassen. Ansonsten würde ich den Thread in den kommenden Tagen löschen, sofern es dagegen keine Einwände gibt.
Holger Ja, eben weil diese Version Nummer gar nicht gibt. Hallo Herr Daniel Was soll ich dagegen haben, es ist euer Forum. Die Leute sollen selbst entscheiden. Ich habe eben nur gut gemeint mit so einem Titel. Sie sehen ja bereits die Wirkung, man schaut eher rein, als wenn da Titel: „Export Ordner sichern gegen fremdzugriffe“ stehen würde. Man soll nicht leichtsinnig sein mit sensiblen Daten. Ich habe mir auch bis jetzt gedacht, wer soll mit meinen Artikeldaten was anfangen. Sie sehen ja meine Artikeldaten wurden geklaut und man hat versucht damit Geld zu machen. Sie sagen es wurde über diese Thema schonmall diskutiert wurde. Ich habe davon nicht gewusst und ich bin mir auch absolut sicher das es hunderte von Shop Betreiber ebenfalls davon keine Erkenntnis haben. Mit freundlichen Grüßen. S. Hidir
Also hier reingeschaut haben bisher 6 personen und das waren fast nur die die es im internen Forum gesehen haben und deswegen geschaut haben. Das ein Export Ordner offen ist sollte klar sein, da stehen aber auch keine extrem sensiblen Daten. Aber trage doch deinen wunsch mal im Feature Request ein das GM eine Option einbaut die den Exportdateien autom. beim 1. mal einen zufälligen zahlenwert anhängen.
Hi Hidir, der EXPORT-Ordner ist doch eigentlich genau dafür da, weil man die Daten an externe Dienste weitergeben möchte. Nicht wenige lassen die sogar dort abholen. Sagen wir mal so, im EXPORT-Ordner haben halt keine sensiblen Daten was zu suchen, aber das liegt am Shopbetreiber, ob er da derartige Daten speichert oder nicht. Der EXPORT-Ordner ist jedenfalls per Definition offen.
Also es reicht mir jetzt, es wird mir hier langsam zu............ Nur weil die Profis immer alles besser wiesen und über alles informiert sind, denkt ihr alle Leute müssen genau so schlau sein wie Ihr selbst. Was für euch selbstverständlich ist, ist für andere neu Land. Ich habe langsam den Gefühl, diese Forum ist nur für die Profis entwickelt und ................ ach lasse ich gut sein. Es hat kein sinn weiter zu diskutieren. Herr Daniel Bitte Löschen Sie sofort diese Thema und bin weg hier.
Deswegen musste doch net gleich stinkig werden! Fakt ist nun mal der Ordner muss von aussen erreichbar sein um den Preissuchmachinen den Zugriff auf die CSV zu ermöglichen. Und was ist das Problem wenn sich die einer zieht???? Die Preise und die Produkte sind doch eh alle im Shop sichtbar. Und wenn du den Ordner schön mit ner htaccess schützt passiert da gar nix. Solltest du dennoch Befürchtungen haben, so kannste doch die für den Export verantwortliche Datei umschreiben und den Namen ändern. Ist aber völlig Sinnfrei, da es auch möglich ist nach csv zu Crawlen. Also wenn ich deine CSV haben will, bekomme ich sie auch! EGAL wo die liegt! Der Ordner existiert doch seit OS-Zeiten also zig-Jahre. Deine Aufregung kann ich leider somit nicht nachvollziehen und mit ner Sicherheitslücke hat das ganze auch nix zu tun. Da sind Injections auf die DB ne echte Bedrohung! Aber ich weis nicht inwieweit du da überhaupt Einblicke hast, deswegen lass ich mal den technischen Teil. Was vieleicht machbar wäre, das man den Ordner für die Ablage selbst bestimmen könnte. Aber wenn ich ehrlich bin, ich brauche es nicht und sehe keinen direkten Sinn an der Sache. Fazit: Meiner Meinung nach zu viel Aufregung um nix.......
Bevor hier einer abhebt, mal eine Frage zwecks "offen" an die Allgemeinheit. Der Ordner "export" ist auf 777, ist klar. Müssen die Dateien wie z. B. "google_shopping.txt" auch auf 777 stehen, oder reicht hier 644?
Genauso - warum ändert sich eigentlich der Code für Cronjobs beim Artikelexport nach fast jedem ServicePack?
Nein Steffen Ich bin gar nicht stinkig. Es geht mir darum, ich gebe mir jeden Monat die Mühe und kostet mich Zeit bis zu 3 Tage bis ich die CSV Daten von Herstellern an meinem Shop anzupassen, jedem Artikel Google Kategorien zuordnen, ect. Für so Anpassung gibt es schon Treuere Software und Dienstleistern, aber ich mach selber. Dann soll jemand kommen und meine Artikel Beschreibung klauen. Da werde ich natürlich sauer. Und wenn jemand versucht damit sich noch bereichern dann erst recht werde ich sauer. Siehe Bild als Beweis. Ich habe vor Kurzem, eine Frage an Google über meine Firma gestellt, was alles so über meinen Firmennamen steht und bin dadurch auf dieses Schreiben gestoßen. Dass eine Firma aus Amerika meine Artikelbeschreibung kopiert und im Deutschland an einige Online Shop Händler Mahnungen verschickt hat, mit der Äußerung, dass angeblich die Produktbeschreibungen von denen stammen. Der Internet- Rechtsanwalt hat rausbekommen, dass alle Artikel von meinem Shop geklaut waren. 2. Ich habe deshalb auch mich hier aufgeregt, weil Überlege mal genau, wie oft hast du hier den Leuten geschrieben dein Ton gefällt mir nicht oder zum Dennis gesagt wurde bis du hier der Obermacker und ähnliches. Ihr solltet ab und zu mal Gedanken darüber machen warum das so ist. Weil hier im Gambio Forum habe ich das Gefühl, es reden nur zehn Leute unter sich und manchmal auch so rätselhaft das keine andere Sie versteht um was es geht auch. Die Anfänger oder unerfahrene Leute werden meist hier nicht so ernst genommen. Weder von Gambio selbst oder hier im Forum.
Ja dann kannste dich nur schützen in dem du deinen Shop schliest! Ich habe nicht umsonst geschrieben, wenn ich deine CSV haben will bekomme ich diese! EGAL wo die ist! Und nun mach was dagegen......... Verstehst du das? Du kannst dich gegen Datenklau dieser Art net schützen! Und wenn du keine CSV machst, les ich die Texte aus deinen Beschreibungen aus! Einfach automatisch! Und wenn ich merke das du da was gegen machst, leg ich dir mal fix deine Seite lahm!!! IST NUR EIN BEISPIEL WIE SOLCHE LEUTE TICKEN!!!!! Ich mach das nicht! Aber ich weis was möglich ist. Das sind alltägliche Probleme des Internets und nicht die von nem Export-Ordner. Und das gewisse Leute hier darauf sauer reagieren ist klar, denn wenn es um sogenannte "Sicherheitslücken" geht, versteht man hier keinen Spas! Und auch dein Gefühl das hier nur 10 Leute miteinander reden ist mehr als daneben. Schau dich mal genau um im Forum und du wirst feststellen das es weit mehr als nur 10 sind und auch wenn sich einige etwas herrauskristalisieren kann es nur gut für die Community sein! Denn dieses FACHWISSEN ist gratis zur Verfügung gestellt und für viel Zeit und Geld angeeignet worden!!! Ein kleiner Tip zum Abschluss: Geh etwas ruhiger mit solchen Behauptungen um und etwas Weitsichtiger denken schadet auch nicht.......
Hi Steffen Das muss ich doch etwas präzisieren... IHR, also Leute wie du, Avenger, Dennis, Holger, Petra u.v.A stellen ihr Fachwissen gratis zur Verfügung. Gambio nimmt aber Geld dafür dass dieses Forum überhaupt zugänglich ist. Und das stört mich persönlich. Sind es doch zu weit über 90% User die hier Support bieten und nicht Gambio. Ja, ich weiss dass auch nicht registrierte User suchen und lesen können. Aber Fragen stellen geht nicht. Hier finde ich die Lösung im GC Forum einen gangbaren Weg. Antworten von Gambio gäbe es nur auf Fragen registrierter User - und sind auch nur für solche sichtbar. Sorry, aber das musste mal gesagt sein. Und in dem Sinne bedanke ich mich hier ganz herzlich bei ALLEN die helfen und erklären, Lösungen vorschlagen und Codeanpassungen anbieten und dies mit einer Engelsgeduld.
Das ist so aber nicht ganz richtig. Die Forennutzung ist Bestandteil des Servicevertrages und verursacht keine Mehrkosten. Die Alternative wäre, GM bindet mehr Personal an den Support und damit weniger an die Entwicklung, mit den absehbaren Folgen! Und das würe mich dann stören!
Hallo Steffen Das stimmt nicht so ganz was du da schreibst. Wenn so ist, sende ich dir gerne mal Firmen Namen wo ich meine CSV Daten erhalte, Oder versuch mal von Necker___an oder Sony, oder irgendeinen bekannten Großen Online Shop die CSV Daten zu klauen. Ich wette mit dir das wirst du nicht schaffen. Also es geht doch. Man kann schon gegen fremdzugriffe die CSV Daten schützen. Ich muss mich auch in deren System mit zu mir gegebenen Login Daten einloggen um die CSV Daten Runderladen zu können. Gruß Hidir
Dann sind entweder die Verzeichnisse geschützt(mit Passwort) oder du holst diese per FTP. Alles andere findest du und bekommst du auch. Problem nur das Sony etwas grösser ist als du und ich mir die Daten doch lieber von dir hole. Die Abwehrgefahr liegt doch bei dir deutlich unter Sony! Ist nicht böse gemeint aber dein Rechtsbeistand ist nicht so intensiv wie der bei Sony! Aber auch Firmen wie Sony kochen nur mit Wasser. Aber geh doch mal zu IDEALO oder Preissuchmaschine und sage denen: meine CSV ist Paaswortgeschützt! Da kommen Sie nicht so einfach ran! Die lachen dich aus!!! Sicherlich können andere Ordnernamen etwas schützen aber zum Schluss liegen die auch da nach aussen offen. Mir scheint das du den Sinn noch nicht ganz verstanden hast. Egal wo du deine Texte hintackerst, ob in die CSV oder in die Artikelbeschreibung, man kommt ran. IMMER! Auch bei Sony! Aber mal im Ernst, wie stellst du dir das vor. Wie sollen die Ordner geschützt werden und wie willst du das deine CSV geschützt sind??? Die Frage ist ernst gemeint!!!
Ja doch. Wie du es beschrieben hast, CSV Daten im ganz anderen, selbsterstellten Verzeichnis unter Fremde Name speichern, dieses Verzeichnis auch per Passwort schützen. Für die tante Google oder Preissuchmaschine sehe ich auch kein Problem, CSV Daten automatisch hochzuladen zulassen. Gruß Hidir