Bart Wux schrieb:
Ja, wie gesagt, es ist nicht, dass sie gehackt wurden, das kann den besten passieren. Ich denke, es geht wieder um die Art, wie damit umgegangen wird, die es aussehen lässt, als sei der Shop das Projekt einer Schulklasse der Unterstufe.
Na Moment mal - das war aber schon immer bekannt, das der SG-Shop eine Eigenentwicklung von Marc war.
Ich kenne den Exploit jetzt nicht, habe nicht danach gesucht und habe es auch nicht vor, aber so gut wie alle anderen Shops da draussen basieren auf XTcommerce oder OScommerce. Die großen auf Intershop...die ganz kleinen auf dem 1&1-Biest.
Und ALLE Shops vefügen über ein Backend...und wenn ich weiss wo das ist, dann ist Polen so gut wie offen.
Das bombardiert man so lange mit Rainbowlisten, bis man drin ist..das würde auch bei diesem Forum hier funktionieren.
Spätestens wenn klar ist, das es ne PHP/mysql-Geschichte ist, kann man schwer davon ausgehen, das sich irgendwo ein phpmyadmin verbirgt...nächstes potentielles Sicherheitsloch.
Ich las über den wunsch von SSL-Verschlüsselungen...Und was soll das Bringen?
a) Gratiszertifikate sind fälschbar....und bringen nix, ausser ärger und konfigurationshorror.
b) Verisign-Zertifikate sind unbezahlbar für ne kleine internetbude wie SG.
c) Alles was man dann hat, ist die Sicherheit es tatsächlich mit dem SG-Server zu tun zu haben....
d) Wie SG die übermittelten Daten dann speichert ist vollkommen unabhängig davon.
e) Auch ein riesenshop wie Amazon speichert seine Daten sicherlich nicht verschlüsselt.
SSL verschlüsselt nur die Kommunikation zwischen den Parteien....das hilft bei dem Problem von SG überhaupt nicht.
Von ungesichert, kann man eigentlich in dem Zusammenhang mit dem aktuellen Problem wirklich nicht sprechen...Die Software ist gehackt worden - und davor kann man sich eigentlich nicht besonders wirksam schützen. Und schon gar nicht ohne Aufwand, den sich so eine kleine Bude wie SG leisten könnte.
