PhPepperShop
> Startseite
> PhPepperShop?
> Vergleich Versionen
> Newsletter
> Downloads
> Shop kaufen
> Kontakt
> Jobs
Ansicht
> Screenshots
> Test-Shops
> Demoshop
> Live-Shops
Dienstleistungen
> Shophosting
> Dienstleistungen
Support
> Anleitungen
> FAQ
> Foren
Account
> Account verlängern
> Account bearbeiten
> Lizenz Upgrade
Security
basic  Zurück 
Security Konzept - alle Komponenten miteinbezogen

Beim PhPepperShop wird Sicherheit gross geschrieben!

Dreistufiges Sicherheitskonzept

Der PhPepperShop bezieht alle technischen Komponenten eines dynamischen Webshops in sein Security-Konzept mit ein. Dies sind die Datenbank, der Webserver und die Programmiersprache (PHP). Dieses dreistufige Sicherheitskonzept schützt den Shop vor Attacken auf allen drei Ebenen und bietet deshalb eine optimale Sicherheit. Weiter werden Sicherheitsüberlegungen auch clientseitig umgesetzt. dreistufiges Sicherheitskonzept

Administration ist technisch abgeschottet

Die Shopadministration wird durch einen .htaccess-Schutz auf Webserver Ebene geschützt. Auf diese Weise kann sich auch kein Hacker über Unzulänglichkeiten in der Implementierung oder in der Programmiersprache Zutritt zur Shopadministration verschaffen.

Wenn sich ein Hacker/Cracker kundenseitig am Shopsystem zu schaffen macht wird er auf zwei weitere Hürden stossen: Der PhPepperShop arbeitet kundenseitig nur mit einer eingeschränkten Funktionsbibiliothek, so dass dort z.B. gar keine Funktionen zum Löschen von Artikeln zur Verfügung stehen. Auch die Datenbank wird mit demselben Prinzip betrieben: Die gesamte kundenseitige Datenbankverbindung wird nur über einen Datenbankbenutzer mit eingeschränkten Rechten abgewickelt. Erst wenn man in der Shopadministration ist, wird ein zweiter Datenbankbenutzer mit mehr Zugriffsrechten eingesetzt.

SQL-Injection - dem Einbringen von maliziösem Code über die Applikation in die Datenbank wird rigoros vorgebeugt. Immer wieder verwendete, zentrale Variablen haben einen definierten Wertebereich, welcher bei jedem Zugriff überprüft wird. Sogenannte Sanity-Checks (Überprüfungen von Variablen) sind auch in der Aufruf-Ebene und auf funktionaler Ebene integriert und gewähren doppelte Sicherheit. Zudem wird jeder übertragene Wert durch Filtering geschützt. Benutzer-API hat keinen Administrationszugriff

Es werden nie Preisangaben über Formulare versendet und dann im Bestellprozess verwendet. Weiter ist auch die z.T. sichtbare Kunden-ID so gewählt, dass man sie nicht erraten kann.

Der PhPepperShop kann dank seinem umfangreichen Kompatibilitätslayer auch mit eingeschaltetem Safe-Mode, einer PHP Konfigurationsdirektive bis PHP 5, betrieben werden. Weiter kann ab PHP 5.2 das Cookie mit der Session-ID via httpOnly Direktive vor Zugriff z.B. via JavaScript geschützt werden.



Zurück
© 2001-2008 PhPepperShop by Glarotech GmbH Kontakt / Impressum