Sicherheit | Euroxid: Oxid Freelancer

Oxid Freelancer - Sicherheit

Management Summary

Online-Systeme sind naturgemäß dem Zugriff Fremder ausgesetzt. Angreifer könnten es dabei auf sensible Kundendaten abgesehen haben, sie könnten versuchen Daten zu manipulieren oder ihre Seite lahmzulegen. Die Folgen reichen von rechtlichen Gefahren über Reputationsschäden bis hin zu Umsatzausfällen. Dies alles zu verhindern ist kein nachträgliches Feature, sondern vom ersten Moment an eine Grundprämisse.

Manche Angriffsvektoren bestehen seit Jahrzehnten, andere sind vor kurzem erst möglich geworden. Nur wer sich ständig fortbildet, kann rechtzeitig reagieren. Dabei hilft eine jahrelange Expertise mit Webtechnologien, das Potential der Gefahren frühzeitig zu erkennen und ihnen entgegenzuwirken.

Sicherheit: Ein Feature, das der Kunde erst bemerkt, wenn es versagt

Wie Oxid für Sicherheit sorgt

Eine der ältesten und dennoch gefährlichsten Angriffe ist die sogenannte SQL-Injection. Stellen Sie sich vor, Ihr "Kunde" soll seinen Namen in ein Formular eingeben, welches dann in der Datenbank gespeichert wird. Doch stattdessen gibt er einen Befehl zur Löschung der Datenbank ein - auch das wird an die Datenbank übermittelt. Die Lösung besteht darin, sämtliche Steuerzeichen, also Zeichen mit besonderer Bedeutung, vorher zu maskieren und damit vor Ausführung zu schützen. Oxid macht das ganz automatisch für alle Benutzereingaben, die durch die Standardlogik abgerufen werden. Und wir als erfahrene Entwickler arbeiten vollständig nach Oxid-Standards. Eine Sorge weniger.

Sollte einmal jemand an Kundendaten kommen - etwa, weil ihr Computer ausgespäht und ihr Zugangspasswort erlangt wurde - gilt es, zumindest die Kundenpasswörter zu schützen. Ihre Kunden könnten dieselben Passwörter aus Bequemlichkeit auch anderswo verwenden - bei E-Mails oder beim Onlinebanking etwa. Oxid schützt alle Kundenpasswörter, indem es diese nur verschlüsselt ablegt. Dabei handelt es sich um eine md5 genannte Prüfsumme, also eine Einwegverschlüsselung, die die Rekonstruktion der Passwörter unmöglich macht. Egal was passiert - Ihre Kunden sind also sicher.

Natürlich gibt es noch viele weitere Gefahrenquellen, und natürlich werden wir sie hier weder Beschreiben, noch versehentlich eine Anleitung für sie geben. Aber diese beiden Beispiele sollten zeigen, wie unsere Arbeitsweise aussieht: In Bewusstsein der Gefahren und derer Abwehrmöglichkeiten.

"...dass die Angreifer die Userdaten erlangen konnten. Die Passwörter aber waren durch eine Einweg-Verschlüsselung geschützt. (Technisch gesprochen: gehasht und gesalzen.)"

Evernote zu einem bekannt gewordenem Angriff.

Oxid Sicherheitslücke: Bruteforce

Trotzt aller Sicherheit des Oxid Shops, eine Schwachstelle gibt es noch: mögliche Brute force Attacken.

Dabei werden so lange Passwörter versuchsweise eingegeben, bis es zu einem Treffer kommt und der Zugang zu einem fremden Konto offen steht. Während gehackte Kundenkonten verwendet werden können um unter fremder Identität zu bestellen, können mit erbeutete Admin-Konten sensible Daten gestohlen oder Zahlungen umgeleitet werden.

Brute Force steht für rohe Gewalt: Es ist kein besonderes Können dazu nötig, automatisiert zunächst ganze Wörterbücher, später dann Zufallstexte durchzuprobieren. Mit etwa einer Million Versuchen pro Stunde und häufig zu kurzen Passwörtern sind erste Treffer nur eine Frage von Tagen.

Die einfache Lösung besteht darin, häufige Passworteingaben zu unterbinden: Wer sein Passwort 5-mal falsch eingegeben hat, ist für 5 Minuten gesperrt. Damit dauert das erraten des selben Passwortes rechnerisch schon 45 Jahre.

[Kontakt]
[Impressum]
[Tel 07641 962 8171]
Technologien
Unsere Web-Technologien rund um PHP und Oxid.

Unser Kerngeschäft sind das Oxid eShop-System und dessen Schnittstellen zu Kreditkartenanbietern, Preissuchmaschinen und Warenwirtschaftssystemen. Wir sind langjährige PHP-Profis und arbeiten mit diversen Frameworks, Redis, NoSQL, jQuery und Unittests - natürlich auch als PHP Freelancer Abseits von Online Shops. Wir übernehmen die Installation, Entwicklung und Optimierung ihres Webshops und ihrer Projekte rund um PHP. Im eCommerce - Bereich unterstützen wir sie bei der Suchmaschinenoptimierung und SEM, und entwickeln ihre Shopsoftware weiter.

OXIDs Selbstverständnis: "Smart E-Commerce Solutions. OXID eSales AG ist führender Anbieter für nachhaltige Multichannel E-Commerce Lösungen und Services. Skalierbare und modulare E-Commerce Plattform. Commercial Open Source Shopsoftware."

Quelle: Oxid eSales
Powered by Oxid eShop
© Euroxid 2013. Ihr Partner für Oxid-Shops und PHP.
Weiter zur IT-Haftpflicht Betriebshaftpflicht von Euroxid Systemberatung Zsolt Szilagyi, Emmendingen 

Den nächsten Schritt besprechen wir gemeinsam: +49 176 7801 6186, info@euroxid.de oder Kontakt