Habe eben in einem Forum diesen Post gefunden http://www.xtc-supportforum.de/viewtopi ... =30&t=2411
Ist die Lücke reel, oder nur mit viel wenn und aber? Ich kann's überhaupt nicht beurteilen. Und mir graust's grundsätzlich davor, ohne Not irgendwelchen Drittcode einzupatchen.

Solange es von xt:Commerce oder von mir nicht bestätigt wird, kannst Du davon ausgehen, dass es eher Pseudo Lücken sind, da bisher auch kein Nachweis erbracht wurde, eher Unfug Bugfix. Nach einigen Tests konnten wir dies bisher noch nicht nachstellen, ergo irrelevant.

Es sind jedoch zwei richtige Sicherheits- bzw. Sessionbugs im xt:Commerce:

• Smarty Caching, dort werden Session IDs mit gecached
• eingebaute Suchmaschinen freundliche URLs in Verbindung mit den relativen Webpfaden, dies kann man mit dem ie8 besonders nachvollziehen, ansonsten mal base href aus der

  header.php

  entfernen, dann wird das kaschierte sichtbar.

Der Erstere wurde von mir an o.g. Parteien vor Ewigkeiten gemeldet, den Zweiten hab ich nicht offiziell gemeldet.

Die ausweichende und noch immer widersprüchliche Antwort auf meine Frage dort bestärkt auch mich darin, dass es sich hier um einen 'wir machen uns dann mal wichtig'-Pseudo-Exploit handelt.

So eine Sicherheitslücke ist doch ein schönes Thema:
http://www.shopanbieter.de/news/archives/2533-guid.html
Über diese vermeintliche Lücke stolpere ich zur Zeit an jeder Ecke.

Ich sollte mich vielleicht mal dranhängen und in meinem Shop was dazu schreiben. Erhöht bestimmt die Zugriffszahlen.

Geiler Kommentar vor allem auch in dem Blog

Geiler Kommentar vor allem auch in dem Blog

Stimmt. Hat mich animiert zu antworten