osCommerce ist eine tolle Software und dazu kostenfrei.
Nun hat mir jemand die Version auf http://www.strelitzer.de empfohlen.
genauso fand ich andere modifizierte Versionen. Kann mir jemand etwas die Richtung geben, wie ich mich am besten entscheide?
Zaphod 
Kleiner Maulwurf „osCommerce Shop in Deutschland“
OSCommerce hat reichlich Sicherheitslücken, benötigt unsichere PHP-Einstellungen, die man nicht bei allen Webhostern bekommt und ist für Nicht-Fachleute nicht beherrschbar.
Die Version von strelitzer.de ist schon allein deshalb nicht zu empfehlen, weil der Betreiber a) über die Sicherheitslücken einfach hinweggeht und b) nicht mal für sein eigenes Unternehmen die Vorschriften des Teledienstgesetzes (Impressum etc,) einhält.
Überall, wos interessant wird, steht, dass man demnächst mehr erfährt. Das ganze Ding ist inhaltlich eine einzige Baustelle ...
Mir flößt das kein Vertrauen ein ...
HTH, Z.
Kleiner Maulwurf Nachtrag zu: „osCommerce Shop in Deutschland“
Hi Zaphod,
Das sind ja ganz neue Gesichtspunkte. Weißt Du da mehr zum Thema Sicherheitslücken?
Ich habe gefunden, daß das register_globals ein potentiellen Problem sein soll. Laut http://www.strelitzer.de/downloads.php soll die Version ganz und gar ohne diese globals arbeiten.
Aber wissen tue ich das ja auch nicht. Gehts das am Ende garnicht? Behaupten tut ja gerne jemand etwas.
Merkwürdig finde ich auch, daß im offiziellen Forum kein Link zu finden ist. Wenn das doch sooo toll sein soll.
Weiterhin vielen Dank für weitere Meinungen.
Gruß vom Kleinen Maulwurf
Zaphod Kleiner Maulwurf „Hi Zaphod, Das sind ja ganz neue Gesichtspunkte. Weißt Du da mehr zum Thema...“
Na ja, Strelitzers Version funktioniert mit Superglobalen. Das ist auch nicht wesentlich besser als eingeschaltete globale Variablen. Knackpunkt der Sache ist, dass in beiden Fällen vom Script nicht überprüft wird (werden kann), ob eine Variable wirklich aus dem Shop-Workflow oder ob sie extern eingeschleust wird. Man sollte sowas ausschliesslich mit lokalen, überprüften und explizit deklarierten Variablen machen.
Solange das osCommerce nicht leistet, ist das sicherheitsmäßig fraglich ...
Auch die Qualität des generierten Shop-Codes überzeugt mich nicht wirklich. Er hat zwar valides XHTML, benutzt aber trotzdem Tabellen statt Headingtags für Überschriften und bürstet damit - ohne Not - XHTML gegen den Strich.
Wer nichts von Webservertechnologie, PHP-Programmierung und Datenbanken versteht, sollte mit sowas nicht "in der Wildnis" einsetzen. Wenn du einen Webshop planst, solltest du einen seriösen, kompetenten Dienstleiser zu Rate ziehen, sonst kann das Ganze fatal in die Hose gehen.
HTH, Z.
Kleiner Maulwurf Zaphod „Na ja, Strelitzers Version funktioniert mit Superglobalen. Das ist auch nicht...“
> Knackpunkt der Sache ist, dass in beiden Fällen vom Script
> nicht überprüft wird (werden kann), ob eine Variable wirklich
> aus dem Shop-Workflow oder ob sie extern eingeschleust wird.
> Man sollte sowas ausschliesslich mit lokalen, überprüften und
> explizit deklarierten Variablen machen.
Mein Bekannter hat sich das Script von www.strelitzer.de gestern noch einmal angesehen und versteht Deinen zu pauschal gehalteten Einwand zum Thema Sicherheit nicht richtig.
Wie soll das zu verstehen sein, daß es nicht überprüft werden kann? Wenn es das grundsätzlich nicht geht, warum sollte dann XTC sicher sein und osCommerce nicht? Er fragt sich, ob er da etwas übersieht.
Grußn an alle vom Kleinen Maulwurf
Kleiner Maulwurf Nachtrag zu: „osCommerce Shop in Deutschland“
So. Ich habe gestern noch mit einem Bekannten gesprochen, der sich auch schon mit PHP befaßt hat. Er hat sich den Download mal gezogen. Wie es der Zufall wollte, hat er auch schon vor einigen Monaten mit osCommerce und XT-Commerce für seinen Chef beschäftigt. Die haben sich dann für XT-Commerce entschieden. Leider ist die Firma noch vor der Inbetriebnahme des Shop in Konkurs gegangen und er wurde von jetzt auf gleich arbeitslos. (So genau habe ich das damals garnicht mitbekommen.)
Er meinte, daß in osCommerce alle Programme nur selbstgesetzte Variablen benutzt und vom Besucher übergebene Werte durchaus geprüft werden. Die viel zitierte Sicherheitslücke durch register_globals würde nur durch die vielen fehlerhaften Contributionen entstehen. Da gab es wohl mal ein Problem mit dem Kontaktformular, daß durch einen Fehler in PHP zur Spamschleuder wurde. Dieses Problem sei aber durch einen Workaround innerhalb von osCommerce geschlossen worden. Andere offene Sciherheitslücken, seien nicht dokumentiert.
An der Version, die ich Ihm gezeigt habe, fand er auch bemerkenswert, daß POST-Formulare durch einen Code vor Injektion geschützt sind. Leider ist im Download nicht die aktuelle Version enthalten, die auch auf der Domain http://www.strelitzer.de installiert ist.
Zum Thema HTML und Tabellen sagt er, daß sich XHTML und Tabellen nicht gegenseitig auschließen und gerade auf dynamischen Seiten ohne Tabellen Probleme durch Hintergründe und Ränder auftreten können, die dann das Gesamtlayout zerschießen.
Wenn ich mich FÜR oscommerce oder speziell für diese modifizierte Version entscheide, kann ich auf die Unterstützung durch meine Bekannten verlassen. Aber entscheiden soll ich mich allein.
Naja. Bei der Verfassung dieses Beitrags hat er mir schon mal geholfen. Die ganzen Techniken sagen mir nicht sooo viel. ;)
Falls noch weitere Meinungen zum Thema kommen würden, würde ich mich aber sehr freuen
Gruß vom Kleinen Maulwurf
Zaphod Kleiner Maulwurf „So. Ich habe gestern noch mit einem Bekannten gesprochen, der sich auch schon...“
Kleiner Maulwurf Nachtrag zu: „osCommerce Shop in Deutschland“
Sorry. Habe da wohl beim posten etwas falsch gemacht. Ich wußte nicht, wie gequotet wird.
Nun ist mein neuer Beitrag oben einsortiert worden.
Also das von: 22.01.2007, 07:31 soll hier unten hin.
Ingo_Malchow Kleiner Maulwurf „Sorry. Habe da wohl beim posten etwas falsch gemacht. Ich wußte nicht, wie...“
Hallo Kleiner Maulwurf, hallo Frank,
als erstes einen Dank für diesen Beitrag. Vielleicht wendet sich der "Kleine Maulwurf" mal direkt an mich, so daß ich ihm die Sachen erklären kann.
Die anderen Argumente kann ich natürlich nicht ganz so stehen lassen. osCommerce arbeitet (in der Version 2.2 MS2) freilich noch mit den obligatorischen Einstellung "register_globals=on", doch ist das allein noch lange kein Sicherheitsproblem. Wie Frank schon richtig bemerkte, besteht bei dieser Einstellung grundsätzlich die Gefahr, Variablenwerte von außen zu injizieren, wenn diese nicht eigens deklariert werden. In der auf www.oscommerce.com zur Verfügung stehenden Version ist die Injektion kaum möglich.
Die von unabhängiger Seite gefundenen Sicherheitslücken waren gänzlich anderer Natur und sind in der aktuellen Version kein Thema mehr.
Was die Sicherheit der Contributionen anbelangt, ist das ein ganz anderes Thema. Das System Open Source läßt solche Beiträge ausdrücklich zu. Auf der Downloadseite steht ausdrücklich, daß die Benutzung auf eigene Gefahr erfolgt. Wie auf dieser Seite bereits richtig bemerkt wurde, kann die Benutzung von Contributionen durch Leute, die keinerlei Ahnung von PHP haben, höchst gefährlich sein.
Ob bei "register_globals=on" ein erhöhtes Risiko besteht, "schlechte Werte" zu injizieren, kann man im Groben vortesten, indem man in application_top.php die Zeile:
error_reporting(E_ALL & ~E_NOTICE);
ändert in:
error_reporting(E_ALL);
Dann wird der Gebrauch von nichtdeklarierten Variablen durch eine Notice quittiert.
Nur mal ganz nebenbei: Versucht doch mal, mit dieser Einstellung das sooo sichere XT:Commerce zu betreiben. ;-)
Allerdings sind diese globals nicht der einzige Weg, Werte zu injizieren.
Selbst wenn keine ungeliebten Werte kommen, müssen diese ausgiebig getestet werden. Gerade CMS haben damit immer wieder ihre liebe Not. Und auch Fachleute und solche, die sich dafür halten, machen immer wieder Fehler. Welchen ich bei Frank gefunden habe, schreibe ich hier nicht. (Wenn Du Frank ihn erfahren willst, kannst Du Dich ja an mich wenden. Du wirst mein Kontaktformular schon finden.)
Ansonsten sind alle herzlich eingeladen, Sicherheitslücken in meiner Installation des von mir modifizierten osCommerce Shop zu finden.
Allerdings möchte ich die Aussagen zum Thema XHTML nicht unkommentiert stehen lassen. Tabellen sind ein ausdrücklicher Bestandteile von HTML und auch von XHTML. Allerdings sind die HTML-Browser traditionell fehlertolerant.
XHTML stellt ein Bindeglied von HTML zum Document Object Model (DOM) dar. DOM beschreibt eine Seite und seine Elemente. Um die einzelnen Elemente zu identifizieren können XHTML-Parser keine Fehler tolerieren. Insofern sind die Regeln bei XHTML wesentlich strenger.
Trotzdem hat Frank bedingt Recht, wenn er bemängelt, daß auch ich noch Überschriften als div oder td benutze. Einen Teil davon habe ich nun in h2 geändert. Manchmal sieht man den Wald vor Bäumen nicht. Danke für diesen Anstoß.
Das mit dem "verballern" ist ja nun SO nicht von mir! Auch Frank hat so seine Probleme. Auch mit dem "verballern". Öffentliche Hinweise gebe ich auch hier leider nicht.
Ein nicht ganz einfach zu lösendes Problem bei der Ablösung von Tabellen sind und bleiben die Hintergründe. Während man bei Tabellen durch die Angabe von "height:100%" bei td die Hintergründe bis unten durchziehen kann, ist das bei floatenden divs nicht möglich.
Resümierend möchte ich darauf hinweisen, daß osCommerce eine ideale Basis zur Realisierung eines eigenen Onlineshops darstellt. Ich arbeite nun seit weit über 4 Jahren damit und habe so viele unterschiedliche Wünsche von Shopbetreibern kennengelernt, daß ich der Meinung bin, daß für die meisten Anwender osCommerce besser geeignet ist als XT. Wer allerdings meint, daß XT genau das beinhaltet, was ER braucht und damit sofort arbeiten kann, hat damit auch garantiert eine gute Wahl getroffen. Gerade bezüglich der deutschen Rechtslage sind in osCommerce 2.2 MS2 einige Sachen zu modifizieren, die in XT bereits enthalten sind.
Genau DAS trifft allerdings auch für meine Version zu. Mir persönlich wären in XT einige Sachen zu sehr aufgeblasen und unübersichtlich. Dadurch leidet unter anderem auch die Last der Datenbank und Templatesysteme fressen immer Performance. Zumal eine Trennung von statischem und dynamischen Inhalten nicht vollkommen möglich ist.
Das war mein Beitrag zum Thema. Allen Lesern noch einen schönen Tag, viel Spaß am Internet, wenig Spam und Frieden.
Ingo
