PhPepperShop Shopsystem

PhPepperShop
		Startseite
		PhPepperShop?
		Vergleich Versionen
		Newsletter
		Downloads
		Shop kaufen
		Kontakt

Ansicht
		Screenshots
		Test-Shops
		Demoshop
		Live-Shops

Dienstleistungen
		Shophosting
		Update Shophosting
		Dienstleistungen

Support
		Anleitungen
		FAQ
		Foren

Account
		Account verlängern
		Account bearbeiten
		Lizenz Upgrade

Security

Zurück | Google

Security Konzept - alle Komponenten miteinbezogen

Beim PhPepperShop wird Sicherheit gross geschrieben!

Dreistufiges Sicherheitskonzept

Der PhPepperShop bezieht alle technischen Komponenten eines dynamischen Webshops in sein Security-Konzept mit ein. Dies sind die Datenbank, der Webserver und die Programmiersprache (PHP). Dieses dreistufige Sicherheitskonzept schützt den Shop vor Attacken auf allen drei Ebenen und bietet deshalb eine optimale Sicherheit. Weiter werden Sicherheitsüberlegungen auch clientseitig umgesetzt.

Administration ist technisch abgeschottet

Die Shopadministration wird durch einen .htaccess-Schutz auf Webserver Ebene geschützt. Auf diese Weise kann sich auch kein Hacker über Unzulänglichkeiten in der Implementierung oder in der Programmiersprache Zutritt zur Shopadministration verschaffen.

Wenn sich ein Hacker/Cracker kundenseitig am Shopsystem zu schaffen macht wird er auf zwei weitere Hürden stossen: Der PhPepperShop arbeitet kundenseitig nur mit einer eingeschränkten Funktionsbibiliothek, so dass dort z.B. gar keine Funktionen zum Löschen von Artikeln zur Verfügung stehen. Auch die Datenbank wird mit demselben Prinzip betrieben: Die gesamte kundenseitige Datenbankverbindung wird nur über einen Datenbankbenutzer mit eingeschränkten Rechten abgewickelt. Erst wenn man in der Shopadministration ist, wird ein zweiter Datenbankbenutzer mit mehr Zugriffsrechten eingesetzt.

SQL-Injection - dem Einbringen von maliziösem Code über die Applikation in die Datenbank wird rigoros vorgebeugt. Immer wieder verwendete, zentrale Variablen haben einen definierten Wertebereich, welcher bei jedem Zugriff überprüft wird. Sogenannte Sanity-Checks (Überprüfungen von Variablen) sind auch in der Aufruf-Ebene und auf funktionaler Ebene integriert und gewähren doppelte Sicherheit. Zudem wird jeder übertragene Wert durch Filtering geschützt.

Benutzer-API hat keinen Administrationszugriff

Es werden nie Preisangaben über Formulare versendet und dann im Bestellprozess verwendet. Weiter ist auch die z.T. sichtbare Kunden-ID so gewählt, dass man sie nicht erraten kann.

Der PhPepperShop kann dank seinem umfangreichen Kompatibilitätslayer auch mit eingeschaltetem Safe-Mode, einer PHP Konfigurationsdirektive bis PHP 5, betrieben werden. Weiter kann ab PHP 5.2 das Cookie mit der Session-ID via httpOnly Direktive vor Zugriff z.B. via JavaScript geschützt werden.

Backup-Tool basic

Der PhPepperShop bietet mit dem Backup-Tool eine einfach Möglichkeit kleinere Datenbank-Backups zu erstellen.

Es können Backup-Sets angelegt werden, so dass man z.B. pro Tag ein Backup erstellt und so den Zustand eines jeden Wochentags wieder hervorholen könnte.

Die Erstellung des Backups kann automatisiert werden oder manuell betrieben werden. Auf Wunsch kann man auch einen CRON-Job einrichten.

Optional kann man auch eine ZIP-Komprimierung der erstellten Backup-Dateien einschalten.

Eine bequeme Restore-Maske erlaubt das Einspielen von Backups.

Verzichten Sie nicht auf Backups im Rahmen einer umfassenden Security-Policy.

SSL/TLS-Verschlüsselung für Kundendateneingaben optional aktivierbar basic

Der Kundenaccount, der Loginvorgang und die Eingabe der Kundendaten, sowie der gesamte Bestellprozess können auch via SSL/TLS verschlüsselt entgegengenommen werden, so dies der Webserver unterstützt. Das Shopsystem prüft bei der Aktivierung ob die Verschlüsselung wie erwartet funktioniert, so dass eine Fehlkonfiguration nicht zu einem unbenutzbaren Shop führen kann.

Vor allem Webshops welche in sensitiven Branchen verkaufen profitieren von diesem Security-Element.

Zurück