PhPepperShop Shopsystem - Security » Security Konzept

PhPepperShop
		Startseite
		PhPepperShop?
		Vergleich Versionen
		Newsletter
		Downloads
		Shop kaufen
		Kontakt

Ansicht
		Screenshots
		Test-Shops
		Demoshop
		Live-Shops

Dienstleistungen
		Shophosting
		Update Shophosting
		Dienstleistungen

Support
		Anleitungen
		FAQ
		Foren

Account
		Account verlängern
		Account bearbeiten
		Lizenz Upgrade

Security » Security Konzept - alle Komponenten miteinbezogen

Zurück | Google

Sicherheit mit dabei... basic

Beim PhPepperShop wird Sicherheit gross geschrieben!

Dreistufiges Sicherheitskonzept

Der PhPepperShop bezieht alle technischen Komponenten eines dynamischen Webshops in sein Security-Konzept mit ein. Dies sind die Datenbank, der Webserver und die Programmiersprache (PHP). Dieses dreistufige Sicherheitskonzept schützt den Shop vor Attacken auf allen drei Ebenen und bietet deshalb eine optimale Sicherheit. Weiter werden Sicherheitsüberlegungen auch clientseitig umgesetzt.

Administration ist technisch abgeschottet

Die Shopadministration wird durch einen .htaccess-Schutz auf Webserver Ebene geschützt. Auf diese Weise kann sich auch kein Hacker über Unzulänglichkeiten in der Implementierung oder in der Programmiersprache Zutritt zur Shopadministration verschaffen.

Wenn sich ein Hacker/Cracker kundenseitig am Shopsystem zu schaffen macht wird er auf zwei weitere Hürden stossen: Der PhPepperShop arbeitet kundenseitig nur mit einer eingeschränkten Funktionsbibiliothek, so dass dort z.B. gar keine Funktionen zum Löschen von Artikeln zur Verfügung stehen. Auch die Datenbank wird mit demselben Prinzip betrieben: Die gesamte kundenseitige Datenbankverbindung wird nur über einen Datenbankbenutzer mit eingeschränkten Rechten abgewickelt. Erst wenn man in der Shopadministration ist, wird ein zweiter Datenbankbenutzer mit mehr Zugriffsrechten eingesetzt.

SQL-Injection - dem Einbringen von maliziösem Code über die Applikation in die Datenbank wird rigoros vorgebeugt. Immer wieder verwendete, zentrale Variablen haben einen definierten Wertebereich, welcher bei jedem Zugriff überprüft wird. Sogenannte Sanity-Checks (Überprüfungen von Variablen) sind auch in der Aufruf-Ebene und auf funktionaler Ebene integriert und gewähren doppelte Sicherheit. Zudem wird jeder übertragene Wert durch Filtering geschützt.

Benutzer-API hat keinen Administrationszugriff

Es werden nie Preisangaben über Formulare versendet und dann im Bestellprozess verwendet. Weiter ist auch die z.T. sichtbare Kunden-ID so gewählt, dass man sie nicht erraten kann.

Der PhPepperShop kann dank seinem umfangreichen Kompatibilitätslayer auch mit eingeschaltetem Safe-Mode, einer PHP Konfigurationsdirektive bis PHP 5, betrieben werden. Weiter kann ab PHP 5.2 das Cookie mit der Session-ID via httpOnly Direktive vor Zugriff z.B. via JavaScript geschützt werden.

PHP basiertes Intrusion Detection System prof.

Der PhPepperShop bietet als kostenloses Modul eine Integration des Open-Source Intrusion Detection Systems PHP-IDS an. Dieses System hebt die Security der Shop-Applikation auf einen ganz neuen Level, da das IDS alle zwischen zwei Seiten übermittelten Daten auf Angriffsmuster jeglicher Art inspiziert. So erkennt das System vielerlei Angriffe und kann Cracker und Hacker gezielt aussperren und Angriffsmuster analysieren.

Zurück