Urlaub zuende, Zeit für Magento

Eineinhalb Wochen ist der letzte Blogpost bereits her, also wirds Zeit für ein bisschen was neues :)

Mittlerweile, eigentlich schon seit Montag, ist mein Urlaub zuende, und nach einigen Tagen draußen im Grünen werde ich mal wieder ein bisschen zum Thema Magento bloggen, das mitlerweile die 1.5.1.0 Stable erreicht hat, und das mit einer Menge Bugfixes, einer hoffentlich komplett sicheren get.php und einigen anderen Features aufwarten kann.
Continue reading

Ist es falsch Software sicher zu machen?

Ich habe, wie hier beschrieben, vor kurzem eine Sicherheitslücke in MyBB veröffentlicht.
Die Lücke habe ich vor kurzem in MyBB gefunden, nachdem ich mir die Funktion des action=newpost-Parameter angeschaut habe, um die Integration des Google SEO Plugins zu verbessern.

Die Lücke habe ich an MyBB gemeldet, weil das in meinen Augen der richtige Weg ist.
Die Reaktionen darauf waren leider nicht besonders schön…

Continue reading

MyBB MySQL Injection

Heute wurde spontan MyBB 1.6.3 veröffentlicht, was ich sehr begrüße.
In dieser Version wurde eine MySQL-Injection in der Datei showthread.php geschlossen die, auch bei magic_quotes=On angreifbar ist und somit jedes MyBB Forum betrifft.

Die Lücke habe ich vor 3 Tagen an MyBB gemeldet – sehr schön zu lesen das diese Lücke so schnell geschlossen wurde! Blogeintrag auf MyBB

Wichtiger Hinweis: ich bin nicht der einzige der diese Lücke gefunden hat, und damit sich die Situation etwas entspannt hier die Nicks der Personen die diese Lücke ebenfalls kennen, warum die nicht gemeldet wurde kann ich nicht sagen. (ich hoffe ich habe niemanden vergessen):
h0yt3r (bzw. hoyter), aKiller47, Cheese, opcodez
Ich habe euch nichts gestohlen, ich will mich nur nicht streiten oder so, darauf habe ich keinen Bock.

Continue reading

Webapplikationen hacken

In diesem Blogpost möchte ich etwas von der Theorie über die Sicherheit von Computersystem weggehen, und einige der gängigsten Methoden vorstellen die ein Angreifer nutzen kann um ein System zu kompromittieren.
Frei nach dem Motto “Kenne deinen Feind” werde ich beschreiben wie diese Angriffe funktionieren, und wie man sich dagegen schützen kann.

Von MySQL Injection über XSS bis hin zu sicherem Design, Race Condition versuche ich so viel wie möglich zu erklären. Der Post bezieht sich auf Sicherheitslücken in PHP-Applikationen, ist aber auch auf andere Software anwendbar.

Continue reading

Ist Magento sicher?

Eine Frage die sich sicher jeder gestellt hat der mit E-Commerce-Software, wie Magento, zu tun hat.
Jedoch nicht nur Magento muss sicher sein, allgemein ist die Sicherheit bei Webbasierten Applikationen ein großes Thema.

Warum auch bei Magento aufgepasst werden muss, WordPress den Zugriff auf Bestellungen erlauben kann und RSS-Feeds und Twitter Webapplikationen absichern können möchte ich in diesem Artikel ansprechen.
Wie genau die Angriffe von statten gehen kann ich leider aufgrund des Umfangs und des benötigten Vorwissens nicht erklären, versuche aber das wichtigste zum Thema Websecurity zu erklären.

Continue reading

Magento Shipping Module

Bezahlen können wir nun, aber wie kommt unsere Ware ans Ziel?

Shipping Module sind einfacher als Paymentmodule und, zumindest in meinen Augen, flexibler einzurichten.
In diesem Post werde ich beschreiben wie man eine simple Versandart in Magento programmieren kann um den Checkout weiter seinen Wünschen Anzupassen.

Continue reading

Magento Payment Module

Nun wird es Zeit meinen ersten “technischen” Artikel zu veröffentlichen (gestern Abend bereits geschrieben, heute veröffentlicht, ich finds immer komisch gleich mehrere Posts am Tag zu veröffentlichen ;) ).

Payment Module in Magento zu schreiben war für mich Anfangs ein mittelschweres Unterfangen, da ich kaum Dokumentation zu dem Thema finden konnte. Nach dem Lesen einiger etablierter Module (u.a. DebitPayment und CashOnDelivery) konnte ich das wichtigste zusammensammeln das benötigt wird um ein einfaches Paymentmodul zu erstellen.

Continue reading

Piwik statt Google Analytics

Google Analytics kennt jeder, nutzen viele, und wird immer mehr abgelehnt.

Besucherstatistiken werden ins Ausland an Google geschickt, fallen nicht mehr unter unsere Datenschutzbestimmungen und sind “verloren”. Zwar haben wir als Webseitebetreiber schöne Statistiken, aber Google hat die Daten. Ganz ehrlich, wer will das schon? Continue reading

Hallo Welt…

…lautet auch der erste Titel des ersten Posts meines Blogs.

Wie so viele andere habe ich nun meinen eigenen Blog erstellt, ein Theme herausgesucht, und nunmehr meinen ersten Beitrag geschrieben.

Weder Sinn noch Ziel des Blogs sind aktuell klar, wird vorraussichtlich jedoch auf einen Mix aus normalen Posts und einigen technischen Dingen hinauslaufen. Letzteres kann ich mir als leidenschaftlicher Programmierer nämlich nicht ersparen ;)

 

So, fürs erste genug geschrieben, noch die restlichen Einstellungen anpassen, dann kann gebloggt werden.