Virtueller Ladendiebstahl

Virtueller Ladendiebstahl
17. Dezember 2002 10:50
In der CT vom 16.12.2002 steht ein Artikel über
Virtuellen Ladendiebstahl. Dabei haben die Betrüger
die Daten manipuliert, die beim "In den Warenkorb legen"
vom Anwender zum Server gesendet werden.
Hierbei war auch der Preis des Artikels. Ohne viel Mühe
konnte dieser geändert werden. Eine Prüfung im Shop fand
nicht mehr statt.
Eine SSL Verschlüsselung konnte mit einigen Hilfsmitteln ebenfalls
umgangen werden. Schlecht abgeschnitten haben u. a. Astroshop,
Franzis und Globetrotter.
Nun die Frage der Fragen wie sieht dies im Pheppershop aus ??


Sebastian
Re: Virtueller Ladendiebstahl
17. Dezember 2002 10:58
Hallo Sebastian,

schon mal unser Sicherheitskonzept gelesen? Im Gegensatz zu vielen anderen Programmierern war Sicherheit bei uns von Anfang neben der Usability das wichtigste Thema. Bei uns werden Preise IMMER aus der Datenbank ausgelesen und nicht via Formulare weitergegeben (Kapitalfehler!).... zszszs

Gruss

José



=====================
Entwickler PepperShop
=====================
gla
Re: Virtueller Ladendiebstahl
17. Dezember 2002 11:01
Die Preise für die Artikel, Varianten und Optionen kommen beim PhPepperShop IMMER direkt aus der Datenbank. Da sie nicht im Browser übergeben werden (nur die Referenz auf den Artikel wird übergeben), können sie auch nicht manipuliert werden. Wenn der Shop mit dem vollen Sicherheitskonzept installiert ist (zwei Datenbankbenutzer) ist es sogar für den userseitigen MySQL-User unmöglich (auch wenn man dessen MySQL Passwort irgendwie rausfinden würde), Preise im Shop anzupassen, da dieser auf die Datenbank nur Leserechte hat.

Wenn einer es schafft, die SSL Verschlüsselung auszuschalten, dann höchstens für sich selbst. Daran, dass seine Daten unverschlüsselt übertragen werden, dürfte er aber sicherlich nicht interessiert sein.

Gruss
Reto



=======================
Entwickler PhPepperShop
=======================
In diesem Forum dürfen leider nur registrierte Teilnehmer schreiben.

Klicken Sie hier, um sich einzuloggen