Habe eben in einem Forum diesen Post gefunden http://www.xtc-supportforum.de/viewtopi ... =30&t=2411
Ist die Lücke reel, oder nur mit viel wenn und aber? Ich kann's überhaupt nicht beurteilen. Und mir graust's grundsätzlich davor, ohne Not irgendwelchen Drittcode einzupatchen.
Lücke in xtc / Gambio
- HHGAG
- PLUS-Mitglied
- Beiträge: 2337
- Registriert: 21. Aug 2008 00:16
- Land: Deutschland
- Firmenname: H.H.G. AG (A.S.)
- Kontaktdaten:
Re: Lücke in xtc / Gambio
Solange es von xt:Commerce oder von mir nicht bestätigt wird, kannst Du davon ausgehen, dass es eher Pseudo Lücken sind, da bisher auch kein Nachweis erbracht wurde, eher Unfug Bugfix. Nach einigen Tests konnten wir dies bisher noch nicht nachstellen, ergo irrelevant.
Es sind jedoch zwei richtige Sicherheits- bzw. Sessionbugs im xt:Commerce:
Es sind jedoch zwei richtige Sicherheits- bzw. Sessionbugs im xt:Commerce:
- Smarty Caching, dort werden Session IDs mit gecached
- eingebaute Suchmaschinen freundliche URLs in Verbindung mit den relativen Webpfaden, dies kann man mit dem ie8 besonders nachvollziehen, ansonsten mal base href aus der
entfernen, dann wird das kaschierte sichtbar.header.php
H.H.G. AG (A.Ş.)
Hasan H. Gürsoy (CEO, ehem. Mitentwickler xt:Commerce)
Hasan H. Gürsoy (CEO, ehem. Mitentwickler xt:Commerce)
- Matt
- Beiträge: 1584
- Registriert: 27. Okt 2009 14:37
- Land: Deutschland
- Firmenname: WIBROS GmbH
- Branche: Erzgebirge Volkskunst, Kuckucksuhren, Nordic Skating
- Wohnort: Mainz
- Kontaktdaten:
Re: Lücke in xtc / Gambio
Die ausweichende und noch immer widersprüchliche Antwort auf meine Frage dort bestärkt auch mich darin, dass es sich hier um einen 'wir machen uns dann mal wichtig'-Pseudo-Exploit handelt.
Re: Lücke in xtc / Gambio
So eine Sicherheitslücke ist doch ein schönes Thema:
http://www.shopanbieter.de/news/archives/2533-guid.html
Über diese vermeintliche Lücke stolpere ich zur Zeit an jeder Ecke.
Ich sollte mich vielleicht mal dranhängen und in meinem Shop was dazu schreiben. Erhöht bestimmt die Zugriffszahlen.
http://www.shopanbieter.de/news/archives/2533-guid.html
Über diese vermeintliche Lücke stolpere ich zur Zeit an jeder Ecke.
Ich sollte mich vielleicht mal dranhängen und in meinem Shop was dazu schreiben. Erhöht bestimmt die Zugriffszahlen.
- Matt
- Beiträge: 1584
- Registriert: 27. Okt 2009 14:37
- Land: Deutschland
- Firmenname: WIBROS GmbH
- Branche: Erzgebirge Volkskunst, Kuckucksuhren, Nordic Skating
- Wohnort: Mainz
- Kontaktdaten:
Re: Lücke in xtc / Gambio
Stimmt. Hat mich animiert zu antwortenGeiler Kommentar vor allem auch in dem Blog
-
- Information
-
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 58 Gäste