Session Fixation in xt:Commerce

[DokuMan]

Was ist denn davon zu halten?
http://www.erich-kachel.de/?p=627

"Es wird von eine "Session Fixation"-Schwachstelle in den Shopsystemen von osCommerce und xt:Commerce berichtet."

"SSEQ-LIB ist eine Sammlung aktueller Funktionen, die es einem Angreifer schwer machen (oder ihn ganz hindern) eine Applikation oder Webseite die mit PHP & MySQL erstellt ist zu manipulieren oder zu kapern. "



Linkback: https://www.modified-shop.org/forum/index.php?topic=701.0

[Anonym]

hmmmmmmmmm.... Schaue ich mir und fixe es... bin eh in der Stimmung... Habe Deine PDF schon übernommen. 3 oder 4 Stück waren schon gefixt. Danke dafür.

Denke es wäre besser erstmal nen Update zu bringen, was alle Fixes enthält ohne neue Funktionen. Die kann man danach machen. Was sagt der Herr?

[JuergenS]

nabend Christian.

die idee mit einem update wo nur die fixes überarbeitet sind wäre nicht schlecht. ich bin auch schon dran alle einzeln einzufügen. es wäre natürlich um einiges leichter und vor allem man vergisst keinen.  

[DokuMan]

SSEQ-LIB kingt sehr vielversprechend, allerdings sollten nach dessen Implementierung die Hauptfunktionen des Shops nochmals getestet werden, da im Prinzip alles an der Session hängt.

Außerdem würde diese Bibliothek evtl. auch zukünfig auftretende Schwachstellen abfedern, da ich von den xtc-Machern für die Version 3.x ehrlichgesagt keinen Support mehr erwarte.

Den Rest der wünschenswerten Fixes hab ich alles in den Thread http://www.modified-shop.org/forum/topic.php?id=643 gepackt. Wäre wirklich klasse, wenn diese auch zur Anwendung kommen.
Somit könnte der "Xt:commerce modified"-Fork wohl eine der zuverlässigsten und standardkompatibelsten Derivaten werden, ohne überladen zu sein.

[tom.f]

Code: XML  [Auswählen]

Somit könnte der "Xt:commerce modified"-Fork wohl eine der zuverlässigsten und standardkompatibelsten Derivaten werden, ohne überladen zu sein

Und damit würde das "Fork" Attribut endlich das Schmudellimage loswerden !

@DocuMan
Deine Vorschlagsreihe für diverese Fixes - Respekt und Daumen hoch.
Du hast echt Sachen gefunden, die sind mir noch nicht mal aufgefallen - Wow

[DokuMan]

Wie sieht es denn hiermit aus?

[Anonym]

Das würde mich auch interessieren

[Tomcraft]

mhhhhhh... ließe sich zumindest leicht integrieren ohne große Aufwand, nur ob es was bringt? Wieso höre ich davon hier das erste Mal? Nicht dass man sich dadurch wieder die nächste Tür aufreisst.

@DukuMan: Hast du die Lib schonmal ein ein Testsystem integriert?

[DokuMan]

@DukuMan: Hast du die Lib schonmal ein ein Testsystem integriert?

Ja, aber wenn ein Artikel in den Warenkorb gelegt wird, erscheint nur noch eine weiße Seite. Vielleicht liegts aber auch an meinem Webspace. Kann das nochmal jemand testen? Die Implementierung ist recht easy.

[Tomcraft]

Kann ich Dienstag machen, da hab ich wieder vernünftiges inet und nicht nur ein Handy. =)

[DokuMan]

hier gehts weiter:
http://www.modified-shop.org/forum/topic.php?id=1244

und wir hier geschlossen.