SSEQ-LIB - modified eCommerce Shopsoftware Security Pack

[DokuMan]

Ich bekomms nicht gebacken. Hab den shop in einem unterverzeichnis, aber die sseq-lib (wie in der Anleitung beschrieben) ins root-Verzeichnis kopiert.
Als Ergebnis bekomme ich nur noch eine weiße Seite. Ich weiß nicht, ob es an meinem Webhostingpaket liegt.

Welche Vorraussetzungen müssen denn für die sseq-lib gegeben sein? Bzw kann man die in der phpinfo() ausfindig machen?

[erichth]

@DokuMan

Setze bitte in der "seq_lib.php" "$_SEQ_ERRORS = 1;". Ggf. erscheint jetzt eine Fehlermeldung von PHP.

[erichth]

Bezüglich Update:

wenn ein erster Test erfolgreich verläuft, wäre der Admin-Bereich noch gegen Cross Site Request Forgery zu schützen, was eine Fleißaufgabe ist und zum Glück nur das Setzen von Funktionsaufrufen an wichtigen Stellen bedeutet. Ansonsten könnte einem Shopadmin ein Link untergeschoben werden, wodurch sich seine Kundendaten, Bestellungen usw. in Luft auflösen würden...

[GTB]

ok, erster Test erfolgreich!

für alle die mal testen wollen hier ein Demoshop:

http://modified eCommerce Shopsoftware.7651.onlineshophosting.de/index.php

Bitte stört euch nicht an der fehlenden Performance, das hat nichts mit SSEQ zu tun sondern mit meinem Server, aber das ist eine andere Geschichte.

[Tomcraft]

Hi Erich, vielen Dank für deinen Fleiß!

Wichtig ist, bevor wir es fest mit in eine nächste Version übernehmen, dass es universal-verträglich auf allen Servern läuft und wir nicht Anfragen von Nutzern bekommen, warum ihr Shop nicht läuft. =)

Oh sehe gerade, dass Christian das schon genauso beschrieben hat... naja... zwei Dumme...

Also bitte weiter testen und feedback geben!

Vielen Dank

[erichth]

Wie getestet werden kann:

Session Fixation im Demoshop.
----------------
Wer diesen Link aufruft, findet in seinem Warenkorb einige Produkte vor.
https://demo.modified-shop.org/trunk/shopping_cart.php?XTCsid=123

Cross Site Request Forgery
----------------------------
Man binde dieses "Bild" in eine lokale HTML ein und rufe diese auf. Ein neues Produkt ist auf einmal im Warenkorb.
<img src="https://demo.modified-shop.org/trunk/index.php?action=buy_now&BUYproducts_id=7&cPath=2&XTCsid=123">

Diese Beispiele funktionieren nicht länger im Demoshop von GTB.

[DokuMan]

Coole Sache! Nun hat es bei mir auch geklappt.
Im sseq-log steht nun nur noch eine "Notice":

08.07.2009, 13:34:16, 91.12.65.162, [], Script Notice, line: 26 script: /var/www/html/xtc_mod/inc/xtc_db_fetch_array.inc.php error: 8 reason: Use of undefined constant DB_CACHE - assumed 'DB_CACHE', GET, /xtc_mod/index.php, [...]

[erichth]

Coole Sache! Nun hat es bei mir auch geklappt.<br />
Im sseq-log steht nun nur noch eine "Notice":

08.07.2009, 13:34:16, 91.12.65.162, [], Script Notice, line: 26 script: /var/www/html/xtc_mod/inc/xtc_db_fetch_array.inc.php error: 8 reason: Use of undefined constant DB_CACHE - assumed 'DB_CACHE', GET, /xtc_mod/index.php, [...]

1) Woran hat es nun gelegen?

2) Die Notices sind dort eigentlich fehl am Platz und werden im nächsten Pack raus fliegen.

[DokuMan]

zu 1) es hatte eigentlich nichts mit SSEQ zu tun (ich hatte das Smarty-Update auf 2.6.26 noch nicht gemacht). Somit lag es nicht wie vermutet an meinem Webhostingpaket

zu 2) ok

[erichth]

Version 0.4 verfügbar. Der fehlende Token, den GTB entdeckt hat, ist jetzt drin. Ohne diesen Token war die Login-Maske auf der Startseite rechts nicht abgesichert und führte zum sofortigen Logout.

[Tomcraft]

Das nimmt ja langsam Gestalt an. =)

Danke Erich!

[Anonym]

Ich habe da auch noch was.. Im Demoshop ist ein einloggen in den Admin nicht mehr möglich, wenn der Shop in einem Unterordner liegt. Ich musste die SSEQ eine Ebene höher hochladen um den Shop ans laufen zu bekommen.

Das hat zur Folge, das wenn ich auf den Admin Knopp klicke das ich im Blog, also eine Ebene höher auskomme.

[erichth]

@Christian
Ich habe meinen Shop auch mal testweise in ein Unterverzeichnis gepackt. Neben der Shopkonfiguration muss man noch die "seq_lib.php" aus dem sseq-lib-Verzeichnis anpassen:

$_SEQ_BASEDIR = $_SERVER['DOCUMENT_ROOT'] . '/level2/sseq-lib/';

Bei mir läuft dann alles.

[Tomcraft]

und wenn wir die application_top.php includen und dann schreiben:

$_SEQ_BASEDIR = HTTP_SERVER . DIR_WS_CATALOG . '/level2/sseq-lib/';

???

Schön wäre eine Lösung, die kein weiteres Anpassen von Dateien nötig macht, egal ob im Document Root oder in einem unterverzeichnis.

[erichth]

und wenn wir die application_top.php includen und dann schreiben:
$_SEQ_BASEDIR = HTTP_SERVER . DIR_WS_CATALOG . '/level2/sseq-lib/';

Ja, so sollte es sein! Ich schnüre dann mal ein neues Päckchen.