Afterbuy API läuft wieder

Afterbuy hat die Probleme auf Ihren API Servern heute nach 16 Uhr gelöst.

API-Serverprobleme bei Afterbuy

Seit 22.2.2014 treten wieder Verbindungsprobleme mit dem Afterbuy-Schnittstellen-Server auf.

Das kann dazu führen,

  • dass Bestellungen nicht an Afterbuy übertragen werden,
  • Produkt- und Bestandsimport mitten in der Verarbeitung abbrechen oder gar nicht laufen,
  • individuelle Schnittstellenanbindungen zu Afterbuy nicht mehr funktionieren,
  • unser Bestandssync Afterbuy/Amazon unregelmäßig oder gar nicht läuft.

Wir haben Afterbuy bereits über die Probleme in Kenntnis gesetzt. Die Analyse des Problems gestaltet sich leider schwierig.

Leider liegt die Lösung der Serverprobleme außerhalb unseres Einflußbereichs. Sobald wir Rückmeldung von Afterbuy haben, werden wir es hier veröffentlichen.

 

Sicherheitslücke in modified, Gambio und xt:C 3.04

Sicherheitsupdate für modified, Gambio und xt:C 3.04

Wie heute dank Gambio bekannt wurde liegt in allen xt:C 3.04, modified, Gambio GX Shops (bis auf die neueste Version 2.0.14) eine Sicherheitslücke vor, über die man Adminzugang erhalten kann.

Gambio und modified stellen Updates bereit:

 

 http://www.gambio.de/security-patch-dez2013-div.html

http://www.modified-shop.org/forum/index.php?topic=28638.0

 

 

API-Serverprobleme bei Afterbuy seit 23.09.2013 behoben – UPDATE

Die Serverprobleme bei Afterbuy scheinen gelöst zu sein, die Importe funktioniert wieder normal.

API-Serverprobleme bei Afterbuy seit 23.09.2013

Seit letzter Woche Montag treten sporadisch Verbindungsprobleme mit dem Afterbuy-Schnittstellen-Server auf.
Das Afterbuy System hat heute große Performance-Probleme. Die Schnittstellenprobleme können damit zusammenhängen.

Das kann dazu führen,

  • dass Bestellungen nicht an Afterbuy übertragen werden,
  • Produkt- und Bestandsimport mitten in der Verarbeitung abbrechen oder gar nicht laufen,
  • individuelle Schnittstellenanbindungen zu Afterbuy nicht mehr funktionieren,
  • unser Bestandssync Afterbuy/Amazon unregelmäßig oder gar nicht läuft.

Wir haben Afterbuy bereits über die Probleme in Kenntnis gesetzt.

Leider liegt die Lösung der Serverprobleme außerhalb unseres Einflußbereichs. Wir halten Sie hier über den aktuellen Stand auf dem Laufenden.

Anonymität / Pseudonymität: was ist das und warum ist es wichtig?

Was ist Anonymität

Unter Anonymität versteht man das Auftreten ohne einen Namen zu nennen. Dabei bleibt die anonyme Person in einer Menge (anonymity set) nicht identifizierbar.

Man unterscheidet zwischen

  • Senderanonymität (Clientanonymität)
  • Empfängeranonymität (Serveranonymität)

Entscheidend ist hier die Verkettbarkeit: man kann keinen Zusammenhang zwischen einer Person und ihren Handlungen, Nachrichten etc. herstellen.

Was ist Pseudonymität

Hier kann man unterscheiden in

  • Personenpseudonym: eine Person verwendet generell ein Pseudonym
  • Rollenpseudonymität: bei Einnahme einer Rolle (z.B. als Angestellter einer Firma)
  • Beziehungspseudonym: bei Kontakt zu einer Person
  • Rollenbeziehungspseudonym: je Rolle und Kontakt zu einer Person
  • Transaktionspseudonym: für jede Transaktion, die man ausführt, verwendet man einen anderen Namen

Je nach verwendetem Pseudonym kann man unterschiedliche hohe Verkettung herstellen: bei Personenpseudonym kann man alle Nachrichten und Aktionen einer Person verfolgen, bei Rollenpseudonym nur die, die er in seiner Rolle ausführt.

Gründe für Anonymität / Pseudonymität

Das Recht auf Privatsphäre ist bereits im Grundgesetz verankert. Viele öffentliche Stellen und Privatfirmen sammeln jedoch viele Daten über uns:

  • Konsumdaten: Was wird gekauft? Wo und wann wird wird gekauft?
  • Finanzdaten: Bonität, Einkommen
  • Aufenthaltsdaten
  • Kommunikationsdaten

Gefährlich ist die Aggregation von Daten, d.h. wenn eine Institution auf viele verschiedene dieser Daten zugreifen kann, dann droht eine Totalüberwachung.

 

Identitätsdaten im Internet

E-Mails enthalten Sender, Empfänger und Nachricht im Klartext (bei unverschlüsselten Mails). Daten wie Absender einer Mail können dabei auch leicht gefälscht werden.

Auch beim Surfen und Chatten hinterlässt man Spuren. Der Server kann u.a.

  • IP-Adresse
  • Datum/Uhrzeit des Aufrufs
  • Seite (URL)
  • referrer (von wo kam der User)
  • Browser, Betriebssystem, Sprache

auswerten. Zusätzlich hinterlegen viele Seiten Cookies auf dem Rechner des Users, um ihn bei einem späteren Besuch wiederzuerkennen.

Fazit: wir hinterlassen im Internet sehr viele Spuren. Wenn diese gesammelt und ausgewertet werden, entstehen User-Profile, die z. B. sehr interessant für die Werbewirtschaft sind.

PGP: technischer Hintergrund

Verschlüsselung

PGP ist ein sogenannter hybrides Verschlüsselungsverfahren, verwendet also sowohl symmetrische als auch asymmetrische Verschlüsselung.

Die Nachrichten werden mit einem symmetrischen Schlüssel, dem Session Key, verschlüsselt. Der Schlüssel wird dabei von PGP erstellt und verwaltet.

PGP führt bei der Verschlüsselung einer Mail folgende Schritte durch:

  • Die Nachricht N wird per ZIP-Verfahren komprimiert.
  • Der Sitzungsschlüssel (Session Key) wird erstellt.
  • Die Nachricht N wird mit dem Session Key symmetrisch verschlüsselt.
  • Der Session Key wird mit dem öffentlichen Schlüssel (public key) des Empfängers asymmetrisch verschlüsselt.
  • Die verschlüsselte Nachricht N und der verschlüsselte session key werden an den Empfänger gesendet.

Der Empfänger kann mit seinem geheimen Schlüssel (private key) den Session Key entschlüsseln und mit dem session key die Nachricht lesen.

Vorteil dieses Verfahrens ist, dass die Verschlüsselung und Entschlüsselung durch ein symmetrisches Verfahren sehr schnell erfolgt.

Wenn die Nachricht an mehrere Empfänger geht, muss diese nicht erneut bearbeitet werden, sondern nur der session key mit dem öffentlichen Schlüssel des Empfängers neu verschlüsselt werden.

Nachricht digital signieren

PGP bietet die Möglichkeit, die Nachricht digital zu signieren, um sicherzustellen, dass die Nachricht nicht manipuliert wurde.

PGP wendet dazu folgende Schritt an:

  • Eine Hash-Funktion berechnet aus Nachricht N einen Hashwert.
  • Dieser Wert wird mit dem geheimen Schlüssel (private key) des Absenders asymmetrisch verschlüsselt und an die Nachricht angehängt, anschließend noch komprimiert (ZIP).
  • Optional kann die Nachricht verschlüsselt werden (siehe oben).
  • PGP sendet Nachricht und  verschlüsselten Hashwert an den Empfänger

Der Empfänger kann anhand des öffentlichen Schlüssels des Absenders (public key) den Hashwert entschlüsseln.

Mailverschlüsselung in der Praxis: PGP

Pretty Good Privacy (PGP)

PGP ist eine Software um seine Mails per Public-Key-Verschlüsselung vertraulich zu versenden. Bislang sind keine Schwachstellen in PGP bekannt.
Neben der kommerziellen Version gibt es auch unter dem Namen GnuPG eine kostenlose Variante.

Funktionen von PGP

  • Verschlüsseln von Dateien und E-Mails
  • Vertraulichkeit von E-Mails sichern (Mail durch Verschlüsselung für Fremde unlesbar machen)
  • Authentizität von E-Mails prüfen (ist die Mail wirklich von einem bestimmten Absender)
  • Schlüsselmanagement

PGP einsetzen

Linux-User können sich die Software über die Paketquellen herunterladen. Für Windows gibt es das GPG4Win Projekt.

Aber es geht noch einfacher:

Um PGP direkt im E-Mailprogramm zu nutzen existieren Erweiterungen für viele beliebte Mailprogramme:

Achten Sie beim Herunterladen darauf, ob die Dateien unverändert sind. Sie können das über den Vergleich von Hash-Werten, die auf der Seite angezeigt werden oder den Vergleich des Downloads von mehreren Quellen, wenn dies möglich ist.

Nach der Installation erstellen Sie ein Schlüsselpaar aus geheimen und öffentlichen Schlüssel. Sie haben hier ggf. die Wahl zwischen RSA (insbesondere bei älteren PGP-Versionen) und Diffie-Hellmann Schlüssel.
Achten Sie auf die Schlüssellänge: je länger, desto sicherer. Wählen Sie die größte Schlüssellänge.

Lange Schlüssel erfordern zwar mehr Rechenleistung, allerdings werden die Schlüssel nur selten neu erzeugt. Beim täglichen E-Mailversand werden Sie kaum einen Unterschied merken.

Speichern Sie den geheimen Schlüssel (private key) an einem sicheren Ort und legen Sie Sicherheitskopien der Schlüssel an, die vor Zugriff geschützt sind.
Geben Sie Ihren geheimen Schlüssel nie preis! Stellen Sie diesen insbesondere nicht ins Internet. Sonst kann ggf. jeder unter Ihrem Namen Mails signieren oder für Sie gedachte Mails entschlüsseln.

PGP verschlüsselt den geheimen Schlüssel zusätzlich mit einem Passwort, dass Sie selbst vergeben können. Dieses Passwort müssen Sie immer wieder eingeben. Falls Sie sich lange Passwörter nicht merken können, verwenden Sie eine Software wie KeePass, die Ihre Passwörter sicher verwaltet.

Ihre Kommunikationspartner benötigen den öffentlichen Schlüssel (public key) von Ihnen, um Mails an Sie verschlüsselt zu senden. Sie können diesen veröffentlichen, in dem Sie ihn

  • auf einen Server für öffentliche Keys, z.B. pgp.net stellen.
  • per Mail versenden.
  • auf Ihrer Homepage veröffentlichen.

Umgekehrt erfahren aus Sie auf diesem Weg, welchen öffentlichen Schlüssel Sie für den Mailversand an den Empfänger der Mail verwenden müssen.

Ein einmal erzeugter Schlüssel kann nicht einfach gelöscht werden, Sie müssen diesen zurückziehen (revoke). Die PGP Software erstellt Ihnen ein Widerrufszertifikat, mit dem Sie den alten Schlüssel für ungültig erklären.

Öffentlichen Schlüssel prüfen

Wenn Sie einen neuen öffentlichen Schlüssel aufnehmen stellt sich die Frage, ob dieser wirklich Ihrem Kommunikationspartner gehört.

Sie können ihn anrufen und die Schlüssel vergleichen. Eine Alternative ist die Verwendung eines Vorstellers: jemand der hinreichend vertrauenswürdig und dessen öffentlicher Schlüssel bereits bekannt ist, signiert den Schlüssel des neuen Kommunikationspartners.

Weitere (technische) Informationen, wie PGP Verschlüsselung funktioniert, finden Sie u. a. hier

Warum sollte ich mich als Onlinehändler mit Internetsicherheit befassen?

In unseren täglichen Praxis werden wir oft nach Hackingangriffen von unseren Kunden um Hilfe gebeten. Leider ist dann der Schaden schon angerichtet, es entstehen Kosten für Shop-Reparatur und Ausfallzeiten. Vieles davon lässt sich im Vorfeld vermeiden, wenn auf einige Grundlagen geachtet wird.

Das Thema Sicherheit wird von vielen Shopbetreibern immer noch vernachlässigt.Viele Händler sind mit ihrem Tagesgeschäft schon so ausgelastet, dass keine Zeit mehr bleibt, sich um das Thema Shop- und Internetsicherheit selbst zu kümmern. Deswegen wollen wir hier eine Übersicht der wichtigsten Themen geben, und Ratschläge für Sicherheit im Internet als auch den sicheren Betrieb eines Onlineshops zusammenstellen.

Kümmern Sie sich im Vorfeld um einen sicheren Shop, Sie sparen sich Zeit und Nerven: meist fällt der Shop gerade dann aus, wenn man es am wenigsten erwartet!

Wir veröffentlichen in den folgenden Tagen einige Grundlagenartikel zu Themen wie E-Mail- und Serversicherheit, um Ihnen eine Hilfestellung zu bieten.
Aus aktuellem Anlass starten wir mit einer Kurzübersicht, wie man seine E-Mails verschlüsseln kann.

E-Mail Verschlüsselung in der Praxis

 

Erneut API-Serverprobleme bei Afterbuy

Seit letzter Woche Montag treten Verbindungsprobleme mit dem Afterbuy-Schnittstellen-Server auf.

Das kann dazu führen,

  • dass Bestellungen nicht an Afterbuy übertragen werden,
  • Produkt- und Bestandsimport mitten in der Verarbeitung abbrechen oder gar nicht laufen,
  • individuelle Schnittstellenanbindungen zu Afterbuy nicht mehr funktionieren,
  • unser Bestandssync Afterbuy/Amazon unregelmäßig oder gar nicht läuft.

Wir haben Afterbuy bereits über die Probleme in Kenntnis gesetzt. Die Analyse des Problems gestaltet sich leider schwierig.

Leider liegt die Lösung der Serverprobleme außerhalb unseres Einflußbereichs. Sie können den aktuellen Stand hier verfolgen:

https://forum.afterbuy.de/beitraege.aspx?jump=2&foreninhalteID=59456&rsposition=0&rsposition2=0&rssuchbegriff=