Schnittstellenblog

SSL (Secure Socket Layer) wurde Mitte der Neunziger Jahre von Netscape entwickelt, um sichere und authentische Internetverbindungen zu ermöglichen.

Viele Webuser verbinden seitdem den Begriff SSL automatisch mit Sicherheit. Das Schloßsymbol im Browser bzw. die grüne Adressleiste, so die gängige Meinung, soll automatisch für eine sichere Verbindung mit einem anderen Server sorgen. Angreifer, die sich dazwischenschalten wollen (Man-in-the-Middle), um Daten, Passwörter etc. abzufangen, sollen durch die Zertifikatsprüfung bei den Zertifizierungsstellen, den sogenannten “Certificate Authorities” (CAs, z.B. Thawte, Verisign usw.), ausgeschaltet werden. Die CAs garantieren, dass das verwendete SSL-Zertifikat authentisch ist.

Aber wie sicher ist SSL wirklich?

Heise griff das Thema in diesem Artikel auf. Schwachpunkt des Verfahrens sind u.a. die Zertifizierungsstellen, auf deren Vertrauenswürdigkeit das ganze System aufbaut. Die CAs prüfen vor Ausstellung, ob das Zertifikat auch zu dem entsprechenden User gehört. Von CAs geprüfte SSL-Zertifikate werden beim Aufruf des Servers dann als “sicher” angezeigt, solange der überprüfte Servername verwendet wird, das Zertifikat gültig und noch nicht abgelaufen ist.

Woher weiß der Browser aber, welchem CA zu vertrauen ist?

Dazu sind sogenannte Root-Zertifikate in allen Browsern bereits vorhanden, die bestimmte CAs vertrauenswürdig erscheinen lassen. Jemand der den privaten Schlüssel dieser CAs vorliegen hätte, könnte beliebige SSL-Zertifikate herausbringen, die dann allgemein als “sicher” angezeigt werden.

Viele dieser CAs sind in den USA beheimatet. Es besteht Grund zu der Befürchtung, dass Regierungsstellen die CAs zwingen könnten, mit Ihnen zusammenzuarbeiten, um verschlüsselte Verbindungen abhören zu können. Einige Firmen bieten diese Dienste bereits auch offiziell an.

Es bestehen aber weitere Gefahren. Moderne Browser zeigen zwar an, wenn die Authentizität eines Zertifikats nicht überprüft werden kann, viele User lassen sich aber dadurch nicht abschrecken. Dadurch kann auch ein nicht vertrauenswürdiger Server vom User als sicher eingestuft werden.

Noch gefährlicher ist eine dritte Variante: Gelingt es einem Angreifer, ein Herausgeberzertifikat zu fälschen, kann er beliebige Zertifikate ausstellen. Bereits 2008 wurden Schwachstellen in den Verschlüsselungsverfahren aufgedeckt. Selbst das Fälschen ist aber nicht unbedingt nötig: CAs können andere Stellen als CAs zertifizieren. Der User hat kaum Möglichkeiten, die gefälschten Zertifikate und die nicht vertrauenswürdigen CAs zu erkennen.

Fazit: Absolute Sicherheit gibt es im Internet nicht. Tools wie dieses AddOn, das die Zertifizierer überprüft, können die Sicherheit verbessern. Meist hilft nur eine gesunde Portion Misstrauen. Jeder User muss selbst abwägen, ob er einer Internetseite trauen will oder nicht.

Die vielfach eingesetzte Serversoftware Plesk hat in Version 9 ein lang erwartetes Feature eingeführt, nämlich Postfix als MTA. Das hat leider auch einige Schattenseiten: die Standardkonfiguration von Plesk führt auf vielen Systemen zu nicht auslieferbaren Mails. Typischer Text einer solchen Mail

Out: 220 bbb.de ESMTP Postfix (Ubuntu)
In: EHLO Arbeitsrechner
Out: 250-bbb.de
Out: 250-PIPELINING
Out: 250-SIZE 30240768
Out: 250-VRFY
Out: 250-ETRN
Out: 250-STARTTLS
Out: 250-AUTH PLAIN DIGEST-MD5 LOGIN CRAM-MD5
Out: 250-ENHANCEDSTATUSCODES
Out: 250-8BITMIME
Out: 250 DSN

In:
Out: 235 2.7.0 Authentication successful
In: MAIL FROM:
Out: 250 2.1.0 Ok
In: RCPT TO:
Out: 250 2.1.5 Ok
In: DATA
Out: 354 End data with .
Out: 451 4.3.0 Error: queue file write error
In: QUIT
Out: 221 2.0.0 Bye

Nach monatelangem Stöbern im Internet (Plesk selbst hat bislang keine Lösung für das Problem) habe ich einen Ansatz hier plesk_postfix_queue_file_write_error.php
gefunden. Leider löst auch das das Problem nicht wirklich. Nachdem Plesk auch keine Version für Ubuntu 10 anbietet, werde ich mich wohl nach einer anderen Software umsehen. Sehr verwunderlich, dass von Parallels nicht mal ein Release-Date für die Ubuntu 10 Version zu erhalten ist.

Syscp macht auf den ersten Blick einen recht guten Eindruck, bietet allerdings nicht den kompletten Funktionsumfang von Plesk.

Einen anderen Ansatz verfolgt webmin, das mehr ein Editor für die Server-Configfiles als ein Administrationstool ist.

Wir bieten Ihnen ab sofort einen Umzug Ihrer Artikeldaten für Magento zum Festpreis an. Dabei werden die wichtigsten Artikel- und Katalogdaten von Ihrem alten Shop (xt:C und Nachfolgesysteme bzw. OSC) in Magento migriert.

Laut einem Eintrag im Webmastercentral Blog plant Google die Schnelligkeit einer Webseite bei seinen Ergebnissen zu berücksichtigen.

Like us, our users place a lot of value in speed — that’s why we’ve decided to take site speed into account in our search rankings. We use a variety of sources to determine the speed of a site relative to other sites.

Das benachteiligt natürlich die Betreiber kleiner Shops, die sich einen Server mit mehreren Usern teilen. Die Geschwindigkeit auf solchen Servern ist meist nicht die beste.

Nach Googles Angaben ist die Relevanz der Seite aber immer noch wichtiger als die Ladezeit, nur sehr wenige sollen von der Änderung betroffen sein. Ob das in Zukunft so bleibt ist ungewiss.

Daher sollte sich jeder Shopbetreiber Gedanken über den eingesetzten Server machen, um den Besuchern das Einkaufen im Onlineshop so angenehm wie möglich zu gestalten.

Ein sehr gutes Tool um die Ladezeit der eigenen Seite zu messen gibt es von Yahoo:

Yslow, eine Erweiterung des FireBug

yslow tool

Das Tool vergibt Noten für die einzelnen Bereiche, die eine Seite ausbremsen können.

yslow result

Wir bieten nun auch eine Anwendung an, die Produkte und Kategorien aus Afterbuy in Magento importiert. Momentan ist die Software im Beta-Status.

Bei Interesse an einem Test, senden Sie uns eine E-Mail.

Bei unserem Shop trat nach dem Einspielen des Updates der seltsame Effekt auf, dass wir bei einer Kundenanfrage durch unser Kontaktformular selbst als Absender eingetragen waren. Nach einem Blick in das Changelog des letzten Gambio-Updates fiel mir folgende Änderung auf (Änderung rot markiert):

alte Datei shop_content.php Zeile 90:

xtc_php_mail($_POST['email'], $_POST['name'], CONTACT_US_EMAIL_ADDRESS, CONTACT_US_NAME, CONTACT_US_FORWARDING_STRING, $_POST['email'], $_POST['name'], ”, ”, CONTACT_US_EMAIL_SUBJECT, nl2br($_POST['message_body']), $_POST['message_body']);

neue Datei shop_content.php Zeile 90-91:

// BOF GM_MOD:
xtc_php_mail(CONTACT_US_EMAIL_ADDRESS, CONTACT_US_NAME, CONTACT_US_EMAIL_ADDRESS, CONTACT_US_NAME, CONTACT_US_FORWARDING_STRING, $_POST['email'], $_POST['name'], ”, ”, CONTACT_US_EMAIL_SUBJECT, nl2br($_POST['message_body']), $_POST['message_body']);

Nach dem Update wird der Shopbetreiber als Absender der Anfrage eingetragen, d.h. Absender und Empfänger der E-Mail ist der Shopbetreiber selbst. Nach dem Zurücksetzen auf die alte Dateiversion funktionierte das Kontaktformular wie vorher.

Es steht eine erweiterte Version für xtc-modified zur Bestellübertragung an Afterbuy zur Verfügung.

Sie ist kostenlos erhältlich. Bei Interesse, gehen Sie bitte ins Forum:

http://www.xtc-modified.org/forum/topic.php?id=4516

Ein weiterer Schritt bezüglich der Portierung meiner Schnittstellen für Magento: Der Bestandsimport ist in einer Beta-Testversion erhältlich.

Wenn Sie an einem Test interessiert sind, schreiben Sie mir bitte eine kurze E-Mail.

Ein weiteres Projekt von mir: Bestände bei SellerCentral aktualisieren (aus Afterbuy bzw. später auch aus einem Internetshop).

Magento ist der Aufsteiger des letzten Jahres im Bereich der Shopsoftware.

Nachdem ich bereits eine Bestellübertragung an Afterbuy entwickelt habe, arbeite ich seit geraumer Zeit an einer neuen Version meiner Schnittstellensoftware, die auch mit Magento kommunizieren kann.

Neben einem Produktimport ist auch der Import der Bestände aus Afterbuy geplant. Die Anwendung ist dabei eigenständig, d.h. sie wird nicht im Shop installiert, sondern läuft außerhalb des Shops.

Näheres dazu in Kürze!