OXID eShop ermöglicht nun SMS-Versand

Freiburg im Breisgau / Stade, den 31.08.2009: Für die Open Source Online-Shop Standard-Software OXID eShop steht ab sofort ein neues Erweiterungs-Modul zur Verfügung, mit dessen Hilfe Online-Shop-Betreiber von nun an bequem und zu den verschiedensten Anlässen SMS an ihre Kunden versenden können. Direkt aus der Bestell-Abwicklung oder aus der Kundenverwaltung des Shop-Admin-Bereiches heraus ist durch dieses Modul schnell und einfach die Benachrichtigung der Kunden per SMS möglich. Bestell- oder Versandbestätigungen, Infos über Lieferverzögerungen oder die Promotion von Gutscheinen oder personalisierter Angebote können somit prompt per SMS erfolgen.

Das für die OXID eShop Community Edition von der Firma top concepts Internetmarketing GmbH aus Stade kostenfrei bereitgestellte Modul wird mit einem unverschlüsselten Toolkit für Entwickler ausgeliefert, so dass auch über den Standardfunktionsumfang hinaus der Ideenvielfalt keine Grenzen gesetzt sind: So können beispielsweise mit wenigen Handgriffen auch Glückwunsch-SMS zum Geburtstag, Gewinnspiele oder sonstige kreative Maßnahmen zur aktiven Kundenpflege und Kundenbindung durch php-Programmierer einfach hinzugefügt werden.

Der SMS Versand von Meldungen mit bis zu 1.530 Zeichen Gesamtlänge erfolgt dabei national wie international in nahezu sämtliche Mobilfunknetze sowie ins deutsche Festnetz als Sprach-Nachricht unter Verwendung einer Shop-spezifischen Wunsch-Absenderkennung über das SMS-Gateway der Firma top concepts.

Die neue Schnittstelle zum SMS-Versand ist geeignet für die OXID eShop Community, Professional und Enterprise Edition ab Version 4.0. Das Modul kann ab sofort unter folgendem Link bezogen werden:
http://www.topconcepts.de/de/online-shops/oxid-eshop-esales/module/sms-tool

Über die top concepts Internetmarketing GmbH:
Die top concepts Internetmarketing GmbH ist seit 1996 im Internet-Business tätig. Innovative Projekte wie der „Umweltwecker.de“, der die Bürger im Landkreis Stade seit dem Jahr 2000 per SMS an die Müllabfuhr erinnerte, brachten frühzeitig auch mobile Lösungen bei top concepts zum Einsatz. Seit 2006 ist top concepts OXID Partner und realisierte in der Zwischenzeit über 100 Projekte auf Basis der OXID eShop Standard-Software.

Pressekontakt:
top concepts Internetmarketing GmbH
Henrik Steffen

Harburger Str. 193
D-21680 Stade
Germany

http://www.topconcepts.com
mail: steffen@topconcepts.com

Fax. +49 4141 991233
Tel. +49 4141 991230

Über OXID eSales:
OXID eSales ist einer der führenden Hersteller von E-Commerce Software. Mit OXID eShop bietet das Unternehmen eine modulare und skalierbare Internet-Shoppingsoftware mit außergewöhnlichem Preis-Leistungsverhältnis. OXID eShop ist erhältlich als Mietshop-Lösung (OXID eShop easy), als Community Edition unter einer Open-Source-Lizenz, in einer Professional Edition für kleine und mittelständische Händler sowie in einer Enterprise Edition für große Handelsunternehmen. Sie lässt sich umfassend anpassen und vollständig in Geschäftsprozesse integrieren. Die ergänzende E-Commerce Intelligence Plattform OXID eFire bietet Schnittstellen zu E-Commerce Partnern wie Payment-Dienstleistern, Webcontrolling/Datamining, Produktportalen, Preissuchmaschinen oder Affiliate-Programmen und sorgt dafür, dass der Online-Handel nachhaltig zum Erfolg wird.

Weitere Informationen unter www.oxid-esales.com.

Pressekontakt OXID eSales:
Caroline Helbing
caroline.helbing@oxid-esales.com
Telefon: 0761/36889-214

OXID EE 2.7.x.x AJAX-Listen-Problem im Firefox behoben

Viele Nutzer der OXID Enterprise Edition 2.7.x.x mussten kürzlich leidvoll feststellen, dass im neuen Firefox plötzlich die AJAX-Listen im Admin-Bereich nicht mehr funktionieren.

Da OXID eSales auf dieses Problem trotz Kunden-Nachfrage nicht reagiert hat, haben wir uns entschlossen nach dem Problem zu forschen und das Problem möglichst zu beheben.

Schon nach kurzer Fehlersuche haben wir die Ursache entdeckt: Das Problem ist ein Konflikt innerhalb der von OXID verwendeten JS-Bibliothek, die eine Eigenschaft definiert, die im neuen Firefox gleichnamig anders belegt wurde.

Auch eine passende Lösung brauchte gar nicht lang gesucht werden, denn im Forum für die betroffene JavaScript Bibliothek war der Konflikt bereits bekannt und durch eine Aktualisierung behoben worden. Wir stellen Ihnen diese Lösung nun als ZIP-Archiv zum Download bereit.

http://www.topconcepts.com/files/downloads/rico.zip

Im ZIP-Archiv befindet sich die Datei namens rico.js. Überschreiben Sie damit bitte die
in Ihrem Shop unter /out/admin/html vorhandene rico.js Datei.

Nach dem Löschen der TMP Dateien können Sie Ihre AJAX Listen im neuen
Firefox wieder benutzen.

Kritische Sicherheitslücke im OXID eShop

Im Online-Shop unseres Kunden Trend-Waesche.de wurden am Wochenende zwei auffällige Bestellungen getätigt, bei denen Kunden mit Hilfe von Gutscheinen den Bestellwert drastisch reduziert haben. Das Auffällige dabei: Die Gutscheine waren noch gar nicht verteilt worden. Woher konnten die Käufer also die Gutscheine haben? Hacker im OXID eShop?

Wir machten uns auf die Suche und forschten in den Webserver Logfiles nach der Ursache des Problems. Es stellte sich heraus, dass es kein Brute-Force Angriff durch Ausprobieren von Ziffern- und Buchstabenkombinationen war, sondern dass zielgenau sofort die richtigen Gutschein-Codes eingetragen wurden.

Wir schauten uns daraufhin die Gutschein Generierung näher an, und stellten dabei blitzschnell fest, dass die Gutschein Export-Datei nach der Generierung auf dem Server stets auf einem Standard-Pfad abgelegt wird, der da heißt: www.shopname.com/export/oxexport.csv

Dieser Dateipfad ist von Haus aus öffentlich zugänglich und ist ohne Passwort-Schutz oder sonstige Schutzmechanismen von Dritten sofort einsehbar und abrufbar. Dies müssen auch die Angreifer auf den Trend-Wäsche Online-Shop bemerkt haben. Sie waren der Referer-Auswertung zur Folge direkt von der Referenz-Liste der OXID eSales AG auf den Kunden Shop für Damen- und Herren-Unterwäsche gelangt. Ein Indiz dafür, dass eine OXID Referenz nach der anderen durch die Angreifer aufgerufen wurde, um nach auf dem Server abgelegten Gutschein-Codes zu suchen.

Stichprobenartig checkten wir die Logfiles anderer Shops und stellten fest, dass auch dort, übrigens von der gleichen Angreifer-IP, versucht worden war die oxexport.csv aufzurufen.

Alle Export-Dateien, die bei generischem Export im OXID eShop erzeugt werden, werden als oxexport.csv gespeichert. Wenn also nun gerade der letzte getätigte Export ein Gutschein-Export war, dann konnte es passieren, dass diese Datei ewig und ohne die aktive Kenntnis des Shop-Betreibers über diese URL abrufbar war.

Wir stuften dies als kritische Sicherheitslücke ein und veröffentlichten diese als Bug Nr. 0001196 im OXID Bug-Tracker.

Vom Support der OXID eSales AG kam der folgende lapidare Hinweis zurück: „als einfache aber effektive Methode zum Schutz des Exports empfehlen wir, eine adäquate .htaccess im Export-Verzeichnis.“

Mit dieser Antwort wollten wir uns jedoch nicht zufrieden geben, sondern erwiderten:
Das ist UNS klar – aber was ist mit den vielen 1.000 anderen OXID Usern?

Sie sollten Ihre Kunden und OpenSource-Nutzer informieren, denn ich kann anhand meiner Logfiles sehen, dass derzeit ausgehend von der OXID Homepage ein Referenz-Shop nach dem nächsten angeklickt wird, um nach der oxexport.csv zu suchen und dann im Shop vergünstigt einzukaufen.

Das kann doch nicht im Interesse von OXID sein!

Es ist übrigens keine gute Idee, den Export-Ordner einfach mit Passwort zu schützen, weil dann auch der generische Export oder die Exporte zu Froogle und Co. nicht mehr ohne weiteres funktionieren.

Meiner Meinung sollten Sie:

• beim Export der Gutscheine den Standard-Pfad so vorgeben, dass dieser eben nicht übers Web aufrufbar ist, bzw. dort einen Sicherheits-Hinweis platzieren, oder zumindest den Dateinamen jeweils zufällig erzeugen, damit dieser nicht durch Angreifer leicht zu erraten ist.
• zusätzlich dann noch eine „Lösch-Taste“ im Admin anbieten, damit nach dem Export die Datei wieder vom Server entfernt werden kann, ohne dass man dafür ein ftp-Programm bemühen muss.
• alternativ könnte man die Gutscheine vielleicht über den admin-controller ausgeben, so dass die Gutscheine nur im Passwort-geschützten Bereich von Shop-Admins abrufbar sind. Das wäre wohl die optimal-Lösung

Unseren Kunden haben wir empfohlen, Strafanzeige gegen die Hacker zu stellen.

Als Softwarehersteller sollten Sie nun die Lücke schließen.

Ende der Mail an OXID.

Nun sind nicht nur Gutscheine von dem Problem betroffen, sondern es könnte auch passieren, dass dort Kunden-Datensätze oder Newsletter-Empfänger etc. ungeschützt zum Download für Datensammler bereitliegen. Gerade bei der aktuellen Diskussion zum Thema Datenschutz und Datenklau ist es ein Unding, den OXID eShop standardmäßig so ungeschützt auszuliefern. Es ist für mich jedenfalls nicht nachvollziehbar, dass OXID da nicht reagiert.

Inzwischen habe ich erfahren, dass diese Lücke bereits seit Monaten bekannt ist – schließlich ist das Verhalten identisch in der alten 3.0.4.1 Version (und vermutlich noch davor) sowie in der Enterprise 2.7.0.1 aber auch in der allerneusten CE/PE/EE 4.1.4. Ich hoffe, dass OXID kurzfristig Abhilfe bereitstellt. Die Shops der durch top concepts betreuten Kunden sind bereits gepatcht worden.

Henrik Steffen, top concepts, OXID Certified Solution Partner

FTP-Passwörter für Online-Shops geändert

Gleich mehrere unserer OXID eShop Kunden entdeckten heute früh, dass ihre Shops von Hackern heimgesucht worden waren. Die FTP-Benutzerdaten waren augenscheinlich durch Virenbefall einiger Kunden-PCs ausgespäht worden und dann gegen sie verwendet worden.

Als Vorsichtsmaßnahme haben wir daher die FTP-Benutzerpasswörter sämtlicher Shop-Kunden geändert. Die neuen Zugangsdaten wurden im Laufe des Nachmittages an die betroffenen Shop-Kunden verschickt.

Sämtliche Webseiten, die verändert worden waren konnten wir durch manuelle Korrektur bzw. in Einzelfällen auch durch Wiederherstellung von Backups auf ihren ursprünglichen Stand zurück bringen. Die Angriffe waren von uns lückenlos mitprotokolliert worden, und konnten daher rückstandslos „rückabgewickelt“ werden.

Schwierig ist es, derartige Angriffe direkt zu erkennen und abzuwehren, denn die Angreifer verfügten ja über gültige FTP-Zugangsdaten -
aber auch darüber werden wir uns nun Gedanken machen müssen.

Die Angreifer hatten stets in html- und php-Dateien zusätzlichen Schadcode eingefügt, der ein verstecktes iframe erzeugte, um dann fremde Inhalte von chinesischen oder russischen Webseiten nachzuladen, und damit die PCs der Website-Besucher zu infizieren. Und so schließt sich der Kreis, und es werden wieder weitere Webseiten infiziert.

Dieses Phänomen wird sehr gut beschrieben unter:
http://www.viruslist.com/de/analysis?pubid=200883634
Wir danken für Ihr Verständnis für die  am heutigen Tage gegebene zeitweilige Unterbrechung der FTP-Verfügbarkeit der Shopserver sowie die Umstände die aus der Vergabe neuer Zugangsdaten
resultieren.

Bei Fragen oder Wünschen wenden Sie sich bitte an unseren Support.

Gastronomie in Stade, Rotenburg und Sigmaringen

Auch am zweiten und dritten Arbeitstag durfte unser neuer Auszubildender Max Böhme sich wieder mit gastronomischen Highlights beschäftigen. Diesmal wurden also verschiedene Restaurants der Region Rotenburg erfasst und auf dem city-map Marktplatz für den Landkreis Rotenburg (Wümme) freigeschaltet. Darunter waren zahlreiche Adressen auch aus Zeven, Bremervörde und Visselhövede. Ähnliche Aktionen werden zur Zeit durch das Team von city-map Zollernalb-Sigmaringen durchgeführt. Auch hier ist Gastronomie ein wichtiges und beliebtes Thema, und es werden neben Gastronomie in Sigmaringen auch Gasttätten, Biergärten, Cafés, Bars und Imbisse in city-map gefunden. Glücklicherweise besteht nicht der ganze Alltag aus Theorie: Am Dienstag Abend ist das top concepts Team zum Stamm-Griechen in der Stader Innenstadt zusammen gekommen. Im griechischen Restaurant Syrtaki in der Salz-Str. in Stade können wir immer wieder gern die Nummer 69 empfehlen: Den Sokrates Teller!

Erfassung von Ärzten und Arztpraxen im Landkreis Rotenburg (Wümme)

Heute am 3.8. hatten zwei neue Azubis ihren ersten Arbeitstag bei top concepts bzw. city-map Stade. top concepts wird nun seit heute durch Herrn Max Böhme verstärkt, der seine Ausbildung zum Fachinformatiker für Anwendungsentwicklung antritt. Seine erste Aufgabe war leider wenig spektakulär: Er wurde mit dem Abtippen und Erfassen zahlreicher Ärzte und Arztpraxen aus dem Nachbarlandkreis beauftragt, genauergesagt aus den Städten Zeven, Rotenburg und Bremervörde. Ziel ist es, dort das Verzeichnis von city-map Rotenburg mit aktuellem und geeignetem Datenmaterial zu füllen. Wichtig ist dabei jeweils das Vorhandensein einer gültigen Internet-Seite. Glücklicherweise wird das nicht dauerhaft so weitergehen, denn wir haben mit Herrn Böhme schon jede Menge vor im Bereich der PHP-Entwicklung. Er soll maßgeblich an der Entwicklung unseres CMS weiter mit arbeiten. Entsprechende interne Weiterbildungsmaßnahmen und Seminare sind bereits in Planung.

Hier können Sie das Ergebnis seines ersten Arbeitstages sehen: Übersicht von Ärzten in Rotenburg, Zeven und Bremervörde