Tästä tietoturvasta tuli ohimennen puhetta toisessa ketjussa.
Kuten tuli mainittua minä käytän Opencart verkkokupaa, sen viimeisintä versiota 2.0.3.1.
Aikaisemmin, toista vuotta sitten OC 1.5.x aikana, ilmeni että hakkeri oli käynyt jonkun suomalaisen verkkokaupan sivulla jättämässä jonkin viestin. Hakkerit viestissään sanoivat tehneen hakkeroinnin siksi koska se Opencartissa oli heidän mielestään helppoa.
Miten tuollaisia hakkereita vastaan voi suojautua?
Toinen asia mikä on herättänyt paljon keskustelua Opencart foorumilla, on Opencart version 2.x uusi tapa käyttää Curl admin sivulla. Siinä haetaan verkkokaupan "etusivulta", catalog puolelta, tietoja ja tallennetaan asiakastietoja ja ostostietoja Curl yhteyden kautta etusivulta.
Monilla palvelimilla tällainen Curlin "sisäinen" käyttö on kuitenkin estetty.
Opencartin väki huomasi tämän vasta keväällä, yli puoli vuotta OC 2 julkasun jälkeen, kun minä huomautin että HTTP Loopback on estetty monella serverillä (arviolta noin kolmannes servereistä ei tue sitä).
Mutta mitä mieltä olette tuollaisesta, onko tuo turvallista? Sikäli kuin ymmärrän, tuo on tehty pelkästään siksi, että ei tarvitse tehdä samoja skriptejä sekä admin että catalog puolelle.
pistemies kirjoitti:
Siinä haetaan verkkokaupan "etusivulta", catalog puolelta, tietoja ja tallennetaan asiakastietoja ja ostostietoja Curl yhteyden kautta etusivulta. – – Mutta mitä mieltä olette tuollaisesta, onko tuo turvallista? Sikäli kuin ymmärrän, tuo on tehty pelkästään siksi, että ei tarvitse tehdä samoja skriptejä sekä admin että catalog puolelle.
Kuulostaa ihan käsittämättömältä purkkaviritelmältä. Ylimääräistä sivunlatausta ja varsinkin sisäisen tiedon siirtoa sitä kautta on yleensä vaikea mitenkään perustella. Jos halutaan jakaa osia skripteistä, tehdään funktioita ja luokkia, joita voi kutsua koodista suoraan. Outo tai typerä ratkaisu ei silti vielä itsessään tarkoita tietoturva-aukkoa.
Mitä nyt äkkiä netistä selailin, aika monessa keskustelussa suositeltiin muutamaa muuta verkkokauppasovellusta ja oltiin tyytymättömiä OpenCartiin.
pistemies kirjoitti:
Hakkerit viestissään sanoivat tehneen hakkeroinnin siksi koska se Opencartissa oli heidän mielestään helppoa. Miten tuollaisia hakkereita vastaan voi suojautua?
Selvästikin tässä tapauksessa voisi suojautua käyttämällä jotain muuta kuin OpenCartia, jos se kerran on hakkereiden mielestä helppo kohde. Yleisemmin on kaksi vaihtoehtoa: joko tehdä itse täydellistä koodia, jolloin kaikista virheistä voi syyttää itseään, tai valita jokin kohtuullisen turvalliselta vaikuttava järjestelmä ja seurata aktiivisesti sitä koskevia tietoturvauutisia, jotta saa korjaukset mahdollisimman pian.
Metabolix kirjoitti:
Kuulostaa ihan käsittämättömältä purkkaviritelmältä. Ylimääräistä sivunlatausta ja varsinkin sisäisen tiedon siirtoa sitä kautta on yleensä vaikea mitenkään perustella. Jos halutaan jakaa osia skripteistä, tehdään funktioita ja luokkia, joita voi kutsua koodista suoraan. Outo tai typerä ratkaisu ei silti vielä itsessään tarkoita tietoturva-aukkoa.
Kiitos paljon kertovasta mielipiteestä. Itsekin tätä olen vähän ihmetellyt. Tosin Opencart foorumilla ei kovin paljon oteta kantaa tämän järkevyyteen, mutta moititaan kauheasti koska se hankaloittaa valtavasti verkkokauppa version 1.5.x päivitystä versioon 2.x ja myös uuden kaupan asennuksessa voi tulla monenlaisia ylimääräisiä mutkia matkaan.
Metabolix kirjoitti:
Selvästikin tässä tapauksessa voisi suojautua käyttämällä jotain muuta kuin OpenCartia, jos se kerran on hakkereiden mielestä helppo kohde. Yleisemmin on kaksi vaihtoehtoa: joko tehdä itse täydellistä koodia, jolloin kaikista virheistä voi syyttää itseään, tai valita jokin kohtuullisen turvalliselta vaikuttava järjestelmä ja seurata aktiivisesti sitä koskevia tietoturvauutisia, jotta saa korjaukset mahdollisimman pian.
Tuo voi olla paikallaan uutta verkkokauppaa harkitsevalle.
Minulla tosin tämä Opencartissa pysyminen ja sen mukana tulleet asennusongelmat ovat tuoneet pikkuisen lisätienestiä. Joten ei niin huonoa, etteikö jotain hyvääkin :)
Aihe on jo aika vanha, joten et voi enää vastata siihen.