Ab der Version 4.1.10 ist eine CSRF-Protection sowie ein Security-Key im Shop implementiert. Die Funktion zur CSRF-Protection hängt an alle vom Shop generierten (internen) URLs (überwiegend im Backend) eine zufälligen Schlüssel an um Manipulation zu verhindern. Der Security-Key ist in der Datenbank und muss bei Funktionen genutzt werden, die von externen Diensten gestartet werden sollen können (z.B. Im und Exporte).
Security-Key:
Den Security-Key finden Sie in der Datenbank in der Tabelle "xt_config" mit dem Key "_SYSTEM_SECURITY_KEY".
Der externe Aufruf des Imageprocessings und des Exportmanagers muss um den Parameter "seckey=4d6538e2092e5b9689fe6fab99bdacc9" erweitert werden. ("4d6538e2292e539686fe6fab99bdacc9" wäre bei unserer Testinstallation z.B. gerade der Key.)
CSRF-Protection:
Per default ist dieser Schutz in der Version 4.1.10 deaktiviert, da viele Reseller Ihre Plugins anpassen müssen um dieses lauffähig zu halten.
Um dieses den Resellern und Plugin-Entwicklern bereits jetzt zu ermöglichen kann man diese Funktion jedoch bereits jetzt zu Entwicklungszwecken aktivieren.
Die CSRF-Protection-Funktion hat drei Modi:
- deaktiviert
- aktiviert
- debug
Anpassen können Sie diese Option in der Datei /conf/debug.php (ca. Zeile 21 )
Deaktiviert:
define ('CSRF_PROTECTION','false');
Aktiviert:
define ('CSRF_PROTECTION','true');
Der Shop blockiert alle nicht autorisierten Anfragen
Debugging:
define ('CSRF_PROTECTION','debug');
Der Shop Schreibt eine Fehlermeldung in den System-Log bei nicht autorisierten Anfragen.
Mit der kommenden Version werden wir die Möglichkeit zur Veränderung dieser Option entfernen und den Shop generell mit aktivierter CSRF-Protection arbeiten lassen.
Cronjobs & Imageprocessing:
Cronjobs und Image-Processing sind mit den entsprechenden Parametern derzeit auch für nicht eingeloggte Benutzer zu aktivieren. Daher muss hier zukünftig einer der Security-Keys angehängt werden.