Neuigkeiten
  • Die modified eCommerce Shopsoftware ist kostenlos, aber nicht umsonst.
  • Damit wir die modified eCommerce Shopsoftware auch zukünftig kostenlos anbieten können:

Autor Thema: MODUL: PDFBill Next - PDF Rechnung/Lieferschein - Inklusive Mailversand  (Gelesen 436080 mal)

Offline kgd

  • Experte
  • *****
  • Beiträge: 1.635
    • Teile Beitrag
    • https://www.karsta.de
Re: MODUL: PDFBill Next - PDF Rechnung/Lieferschein - Inklusive Mailversand
« Antwort #1695 am: 12. Juni 2019, 22:23:57 »
Dann ist es wohl besser die .htaccess so zu ändern wie die, die im Ordner admin/backups liegt.

[edit]
Nein, gerade noch mal getestet, das ist nicht die richtige Lösung. Da dann beim Aufrufen des Links http://www.domain.tld/admin/invoice/beispielrechnung1.pdf wie in deinem Beispiel eine user- password-Eingabe kommt. Alles andere funktioniert.

BG kgd

Offline noRiddle

  • Experte
  • *****
  • Beiträge: 10.079
  • Geschlecht: Männlich
    • Teile Beitrag
    • Webdesign Bonn - Köln
Re: MODUL: PDFBill Next - PDF Rechnung/Lieferschein - Inklusive Mailversand
« Antwort #1696 am: 12. Juni 2019, 22:46:37 »
Wieso kommt man als eingeloggter Admin dann an die Dateien (außer via Skript) ? Das verhindert doch die .htaccess.
*AUCH_EDIT* :-D Ah, du hast es bereits gemerkt. *END_EDIT*

@hh040
Um die Begrifflichkeiten mal geradezurücken:
Das ist keine "gravierende Sicherheitslücke" und die hast du auch nicht gefunden, das ist bei diesem Modul seit langem klar.
Es ist im Höchstfall ein Datenschutzproblem.

Abgesehen davon, daß kdg dir ja eine Möglichkeit gegeben hat das Verzeichnis zu schützen, wie kommt ein Kunde an solch einen Link wie du ihn in deinem Beispiel geschrieben hast ?,
denn, wie kgd geschrieben hat: "erhält der Kunde seine Rechnung ja per Mailanhang".

Ich fände es allerdings auch besser wenn man den Verzeichnisnamen selbst frei wählen könnte (wie bereits das Admin-Verzeichnis in modified 2.0.X), dann wäre ein solcher Link auch nicht erratbar (was er mit frei benanntem Admin-Verzeichnis eigtl. auch schon nicht ist).
Außerdem könnte man jede Rechnung in einen Unterordner namens z.B. /inv_12345/ speichern, wobei die Ziffern die interne customers_id wäre, die niemand von einem Anderen kennen kann. Zwar kann man auch da durch Ausprobieren was finden, mit einer selbstgewählten Vorsilbe allerdings ist das fast unmöglich (ich weiß, fast reicht im Extremfall nicht...).

Das Verzeichnis so zu schützen, daß lediglich Admins daruf zugreifen können geht nicht so einfach mit PHP (zumindest nicht was Bilder, *.pdf, usw. betrifft), wohl jedoch via .htaccess. Bemühe mal die Suchmaschine deines Vertrauens und suche nach .htaccess .htpasswd.

Mit PHP müsste man per .htaccess jeden Request auf das Verzeichnis zu einem PHP-File umleiten, welches z.B. prüft ob Admin und ob die Admin-Rechte vergeben sind und erst dann das File zur Verfügung stellt.

Gruß,
noRiddle

Offline Hetfield

  • modified Team
  • *****
  • Beiträge: 740
    • Teile Beitrag
    • MerZ IT-SerVice - Internetsolutions for eCommerce and eBusiness
Re: MODUL: PDFBill Next - PDF Rechnung/Lieferschein - Inklusive Mailversand
« Antwort #1697 am: 13. Juni 2019, 14:25:10 »
Hier eine Version mit geschütztem invoice-Ordner und Download der PDF-Dateien per readfile() in print_order_pdf.php / print_packingslip_pdf.php.

Optional noch bei mir erhältlich: Die Kunden im Frontend können ebenfalls die Rechnung herunterladen in ihrem Kundenkonto.

MfG Hetfield  8-)

Offline noRiddle

  • Experte
  • *****
  • Beiträge: 10.079
  • Geschlecht: Männlich
    • Teile Beitrag
    • Webdesign Bonn - Köln
Re: MODUL: PDFBill Next - PDF Rechnung/Lieferschein - Inklusive Mailversand
« Antwort #1698 am: 13. Juni 2019, 16:21:33 »
...oder so. :idea:
Danke, Hetfield

Gruß,
noRiddle

Offline hh040

  • Frisch an Board
  • **
  • Beiträge: 53
  • Geschlecht: Männlich
    • Teile Beitrag
Re: MODUL: PDFBill Next - PDF Rechnung/Lieferschein - Inklusive Mailversand
« Antwort #1699 am: 14. Juni 2019, 16:22:09 »
Wieso kommt man als eingeloggter Admin dann an die Dateien (außer via Skript) ? Das verhindert doch die .htaccess.
*AUCH_EDIT* :-D Ah, du hast es bereits gemerkt. *END_EDIT*

@hh040
Um die Begrifflichkeiten mal geradezurücken:
Das ist keine "gravierende Sicherheitslücke" und die hast du auch nicht gefunden, das ist bei diesem Modul seit langem klar.
Es ist im Höchstfall ein Datenschutzproblem.

Abgesehen davon, daß kdg dir ja eine Möglichkeit gegeben hat das Verzeichnis zu schützen, wie kommt ein Kunde an solch einen Link wie du ihn in deinem Beispiel geschrieben hast ?,
denn, wie kgd geschrieben hat: "erhält der Kunde seine Rechnung ja per Mailanhang".

Ich fände es allerdings auch besser wenn man den Verzeichnisnamen selbst frei wählen könnte (wie bereits das Admin-Verzeichnis in modified 2.0.X), dann wäre ein solcher Link auch nicht erratbar (was er mit frei benanntem Admin-Verzeichnis eigtl. auch schon nicht ist).
Außerdem könnte man jede Rechnung in einen Unterordner namens z.B. /inv_12345/ speichern, wobei die Ziffern die interne customers_id wäre, die niemand von einem Anderen kennen kann. Zwar kann man auch da durch Ausprobieren was finden, mit einer selbstgewählten Vorsilbe allerdings ist das fast unmöglich (ich weiß, fast reicht im Extremfall nicht...).

Das Verzeichnis so zu schützen, daß lediglich Admins daruf zugreifen können geht nicht so einfach mit PHP (zumindest nicht was Bilder, *.pdf, usw. betrifft), wohl jedoch via .htaccess. Bemühe mal die Suchmaschine deines Vertrauens und suche nach .htaccess .htpasswd.

Mit PHP müsste man per .htaccess jeden Request auf das Verzeichnis zu einem PHP-File umleiten, welches z.B. prüft ob Admin und ob die Admin-Rechte vergeben sind und erst dann das File zur Verfügung stellt.

Gruß,
noRiddle

Auch wenn es keine Sicherheitslücke ist ist es jedoch fatal.

Es gibt diverse Webseiten im Internet mit denen man die Verzeichnisse einer Seite auflisten kann.

Offline hh040

  • Frisch an Board
  • **
  • Beiträge: 53
  • Geschlecht: Männlich
    • Teile Beitrag
Re: MODUL: PDFBill Next - PDF Rechnung/Lieferschein - Inklusive Mailversand
« Antwort #1700 am: 14. Juni 2019, 16:26:26 »
Hier eine Version mit geschütztem invoice-Ordner und Download der PDF-Dateien per readfile() in print_order_pdf.php / print_packingslip_pdf.php.

Optional noch bei mir erhältlich: Die Kunden im Frontend können ebenfalls die Rechnung herunterladen in ihrem Kundenkonto.

MfG Hetfield  8-)
Vielen Dank.
Muss ich alle Dateien ersetzten?

Offline hh040

  • Frisch an Board
  • **
  • Beiträge: 53
  • Geschlecht: Männlich
    • Teile Beitrag
Re: MODUL: PDFBill Next - PDF Rechnung/Lieferschein - Inklusive Mailversand
« Antwort #1701 am: 14. Juni 2019, 18:27:45 »
Super vielen Dank für die Erweiterung!

Kann nun auch im Adminbereich auf die Rechnung sowie Lieferschein zugreifen!

Wie kann ich die normale Bestellnummern sowie Rechnungsnummern löschen zurücksetzten? Danke.


Teile per facebook Teile per linkedin Teile per twitter

 


             
anything