Donnerstag, 19. Juli 2012

Problematisch für alle: Sicherheitslücke xt:Commerce und Gambio

Ein Artikel von Christian Zsunyi  im Portal ecommerce-fachwissen.de befasst sich mit einer aktuellen Sicherheitslücke  in  xt:commerce (xtcommerce) und Gambia. Zu Recht weist der Autor darauf hin, dass nicht nur für die Shopbetreiber Risiken entstehen, sondern auch für Kunden, und zwar bezüglich ihrer persönlichen Daten.

Zwar wurde zeitnah ein Patch bereit gestellt, schreibt der Autor,  von Seiten des ursprünglichen Herstellers von xtCommerce sei aber keine Reaktion zu erkennen.

Immer noch setzen viele Dienstleister auf die alte Version xt:Commerce 3 und es seien auch weiterhin tausende Installationen von xt:Commerce im Einsatz.



Während Gambio professionell gepflegt und weiterentwickelt werde, existiere bei xtCommerce3 überhaupt kein Support mehr.

Bei gleichzeitig tausenden von  Installationen bei Shop-Betreibern müssen diese sich überlegen, ob sie nicht updaten. Diejenigen, die keinen Wartungsvertrag haben - das seien angeblich die meisten - sollten sich überlegen, ob sie sich nicht künftig technisch betreuen lassen. Und wer einen neuen Shop aufsetzt, sollte unbedingt ein aktuelles Shop-System einsetzen, bei dem es Wartung gibt.

Ich möchte es deutlicher formulieren:  

Wer shop-Software einsetzt, hat mehr Verantwortung, als ein normaler Webseitenbetreiber !

Wenn er kein Geld für ein gewartetes System opfern will sondern ein kostenloses opensource-Paket installiert oder installieren lässt, riskiert der Betreiber langfristig, dass die Daten seiner Kunden ausspioniert werden.



Dies kann unbemerkt geschehen. Ein Hackerzugriff führt nicht mehr wie früher zu einer lahmgelegten Webseite, sondern zur Ablage von Spionage-Dateien auf dem Server.

Und bei jedem opensource-Paket (sei es Shop, Blog oder Forum) muss man davon ausgehen, dass immer wieder neue Sicherheitslücken entdeckt werden.

Man sollte auch wissen, dass solche entdeckte Lücken über entsprechende Portale sofort der Hackergemeinde mitgeteilt werden und weißter, dass diese mittlerweile schnell genug ist, um noch vor dem Aufspielen von Updates das Web nach anfälligen Shops zu durchsuchen. Suchroboter machen das möglich, und ist einmal ein Zugang ermittelt und eine Trojanerdatei auf dem Server versteckt worden, kann sich der Hacker Zeit lassen. Ab jetzt hat er Zugang zum Server.

Als Alternativen schlägt der Autor einen Umstieg auf Gambio GX2 oder xtc:Modified vor, oder auf ein anderes betreutes Shopsystem

Labels: ,

  © Blogger template 'Fly Away' by Ourblogtemplates.com 2008

Back to TOP