TÜV- und Trusted-Shops-Siegel sind sicherheitstechnisch für die Füße

Abgelegt unter IT, Sicherheit am 18.03.2009

Naja, war ja auch irgendwie nichts anderes zu erwarten, oder?
Wie heise heute dazu schreibt, beschränkt sich das aber nur auf Cross Site Scripting.

Für mich nicht.

So ein TÜV-Siegel macht für mich seit damals keinen Sinn, als ich gesehen habe, welche Anforderungen der TÜV an einen Datenschutzbeauftragten stellt.
(fragt lieber nicht, da könnte es einen gruseln…)

Aber auch die Aufnahmebedingungen für ein Trustet-Shops Siegel sind in meinen Augen eher als „lachhaft“ zu bezeichnen.
Warum zum Beispiel muß lediglich der Bezahlvorgang SSL-verschlüsselt erfolgen?
Warum sollte nicht schon der Login-Vorgang mit einem shop-eigenen SSL-Zertifikat geschützt werden?

Weil es Geld kostet?

Wow, wenn man als Shop-Betreiber keine 50 Euro für ein eigenes 1-Jahres-Zertifikat aufbringen kann, sollte man meiner Meinung nach sowieso sein Geschäftsmodell überdenken.
Wenn es daran scheitert, daß der Hoster kein SSL-Zertifikat einbinden kann (ist ja auch nicht ganz soooo einfach), dann sollte man den auch wechseln…

Cross Site Scripting ist die eine Problematik.
Die Sicherheit des Shop-Systems selbst (also die Anfälligkeit des Programmes) sollte in meinen Augen aber auch eine nicht unterbewertete Rolle spielen.

Ich will dies am Beispiel osCommerce/xt:commerce und dem neuen Produkt (Veyton) von der gleichen Softwareschmiede erläutern.

osCommerce/xt:commerce = quelltext-offen, hat aktuell auch eine XSS-Lücke. Diese kann man aber in 5 Minuten selbst stopfen.
Veyton = Quelltext ist verschlüsselt. Im Falle einer Sicherheitslücke ist nicht nachzuvollziehen, wie lange gebraucht wird, bis man diese stopfen könnte, da man ja keinen Einfluß darauf hat.

Daher bin ich der Meinung, man sollte Produkten dieser Art (also verschlüsselt in irgendeiner Art) vorerst ein Gütesiegel verweigern, bis diese den Quelltext durch eine unabhängige dritte Partei auf die gröbsten Fehler hin überprüfen haben lassen
(ich betone, unabhängig).

Das nächste Problem für Shop-Zertifikate:
Verbraucherschutz kann keiner garantieren, wie denn auch.
Oder gäbe es da doch einen Ansatz? *g*

Ebenfalls lustig habe ich es gefunden, welche Grundsätze bei Trusted Shops für deren Zertifikat gefordert werden, speziell zum Thema Impressum und Pflichtangaben…

Da ich ja selbst ein paar Shops betreue, war ich letztens schon sehr irritiert, als ich für einen Shop, der noch im Entstehen war, schon die Zusage für das Trusted Shops-Siegel gelesen habe.
Das Impressum war stark abmahngefährdet, und die Versand-Informationen alles andere als kunden-freundlich.

Fassen wir also zusammen:
bisherige Siegel/Zertifikate/whatever sind für Kunden leider kein Anhaltspunkt für Qualität, Sicherheit und Zuverlässigkeit dieses Shops.
Diese „Bildchen“ für den eigenen Shop kosten aber richtig Asche.

*pling* neue Abzock- Geschäfts-Idee.
Nee, Späßle, sowas würde ich mir nie ans Bein binden, viel zu unseriös…

Für mich (und meine Kunden) reicht es, wenn die verwendete Software quelltext-offen ist (das kann man ruhig wo im Footer sehen), der Shop standard-mäßig mit (gültigem) SSL-Zertifikat läuft, und nicht irgendwelche PHP-Errors zu sehen sind.


Dein Kommentar »

Ihre Rechnung fuer Forum Zeitgeistlos.de – Erste Mahnung!

Abgelegt unter Aufklärung, Kindergartenbande, Kurioses am 17.03.2009

Neues von der Kindergartenbande.
Nein, das ist Fake.
Nein, da muß man nix bezahlen.
Ja, einfach löschen…

———-
Diese Nachricht hat eine hohe Priorität!
Betreff: Ihre Rechnung fuer Forum Zeitgeistlos.de – Erste Mahnung!
Von: xxxx@gmx.de <firecooler@gmx.de>
An: xxxx@shizobunnies.com
Cc: xxxx@gmail.com, xxxx@sakisafu.de
Datum: 17-03-2009 12:10
———-
Sehr geehrter Nutzer des Forums Zeitgeistlos.de,

Sie haben sich im Forum Zeitgeistlos.de angemeldet und sind nun verpflichtet, eine Anmeldegebuehr von 250 Euro zu bezahlen.

Seit dem 01.03.2009 ist die Nutzung des Forums Zeitgeistlos.de kostenpflichtig, weshalb auch Sie jetzt den faelligen Betrag an uns entrichten muessen.

Sollten Sie nicht innerhalb von 7 Tagen zahlen oder sich ueber uns beschweren, werden wir unsere Rechtsanwaeltin Frau Katja Guenther in Muenchen einschalten.

Also zahlen Sie lieber und ersparen Sie sich eine Menge Aerger!
Im Falle einer Zahlungsverweigerung droht Ihnen ein Schufa-Eintrag und eine Gerichtsverfahren.

Die Zahlung entrichten Sie bitte per Paypal an: ebay.xtra4web@flatbox.de

Mit freundlichen Gruessen

Inkassobuero Firecooler
Herrn Oliver Goetz
Leitenstr. 23
96173 Oberhaid-Staffelbach
———-

Naja, lange dauert es ja nicht mehr, gelle…?


2 Kommentare »

Bundesfamilienministerin Ursula von der Leyen zeigt weiterhin keine Anzeichen von Logik

Abgelegt unter Aufklärung, Kurioses, Zensursula am 17.03.2009

Hm, manchmal fragt man sich schon, ob nicht auch die bestraft werden sollten, die solchen Leuten zu solchen Posten verholfen haben…

Die Ministerin macht sich wieder mal öffentlich zum Kasperle.

Zitat zur Internet-Filterliste:
———-
„Diesen Kampf werde ich erbittert führen“
———-

Dazu kann man nur anmerken:
es hat schon mal einen gegeben, der hat sogar ein Buch mit dem Titel rausgegeben und ist kläglich gescheitert…

Ich frage mich sowieso, warum Politiker, die nicht einmal Ahnung von den fundamentalsten Kenntnissen der Materie in solchen Positionen solche Entscheidungen treffen können.
Sind die vielleicht auch solche Widerlinge?

Frei nach dem Motto:
die bösen Seiten sind jetzt alle verboten; wenn ich jetzt aber trotzdem noch auf so eine Seite komme, MUSS sie legal sein…?

Liebe Frau von der Leyen,
bitte holen Sie sich doch mal WIRKLICHE Fachmänner ins Boot, sowohl aus der Technik, als auch von der PR-Abteilung.
Die Techniker werden Sie dann aufklären, daß ein Filter absolut NULL bringt, denn man hat es ja jüngst mit diesen MMS-Videos gesehen (oh, da kommt dann demnächst ein MMS-Filter *g*).
Die Fachleute aus der PR-Abteilung bringen Ihnen dann hoffentlich bei, wie man sich nicht ständig in der Öffentlichkeit zum VOLLHORST macht.

Familienministerin Ursula von der Leyen

Für mich steht eh fest:
auch wegen der „ach sooo klugen Ministerin“ KANN ich bei bestem Willen keine schwarze Partei wählen.
Vom Rollfgang will ich jetzt mal komplett absehen, denn bei dem ist es meiner Meinung nach sowieso nicht mehr sehr lange hin, bis wieder so ein verwirrter Trottel das beendet, was so ein anderer Schwachmat damals angefangen hat…
Und nein, das ist keine Ankündigung von mir, sondern lediglich eine logische Schlussfolgerung anhand der bisherigen Geschehnisse und Entscheidungen von unserem Herrn Dr. Schäuble.
Man kann den Hund nur so lange am Schwanz ziehen, bis er einem die Hand abbeißt.
(wenn das mal der Fall sein wird, werde ich nur hier her linken…)

Klar, die Deutschen brauchen schon bissel länger, bis sich da mal was tut (im krassen Gegensatz zu Frankreich, wo vor noch nicht allzu langer Zeit sogar die Bauern einfach den Mist vors Parlament gekarrt haben…)
Wenn dann aber wieder so jemand wie damals kommt, der es versteht, die (künstlich) dumm (gehaltenen) Massen zu mobilisieren, dann jammern sie wieder alle…

Kinners, Kinners, ich seh‘ schon, man kann wirklich nur noch warten, welche Partei sich nicht durch Dummschwätzerei in der Öffentlichkeit so daneben benommen hat, um dann das Kreuzchen bei der Wahl zu setzen…
Wissen die da oben das eigentlich? Oder ist denen das egal, und handeln nach dem Motto:
einmal Bundeskanzler(in), ein Leben lang ausgesorgt…???

Wie mein Geschichtslehrer damals schon sagte:
aus dem Land der Dichter und Denker
wurde das Land der Richter und Henker.

Na denn…


Dein Kommentar »

« Vorherige Seite« ältere Einträge
neuere Eintäge »Nächste Seite »
blog powered by wordpress
Design by Office and IT - Business Solutions
Optimiert durch suchmaschinen-freundlich