Shopware 5.7.9 – Update im April 2022
Fokus auf Datensicherheit
Es handelt sich um ein Datensicherheitsupdate. Betroffene Versionen sind 5.0.0 bis 5.7.8.
Nicht-persistente XSS
XSS ist eine der vielen Techniken, um schädlichen Code in eine Applikation einzuführen. Der Hauptunterschied von den anderen Techniken besteht darin, dass diese Methode die Ausführung des schädlichen Codes nicht auf dem Server, sondern clientbasssiert über den Browser ermöglicht. Gespeichert wird der Code allerdings auf Serverseite durch die Benutzereingabe im Frontend, so z.B. in einem Formular im Onlineshop. Der Code kann die persönlichen Daten von dem Onlineshop-Nutzer stehlen oder sogar eine Aktion ohne Erlaubnis des Nutzers durchführen. Die Gefahr für Shopware Onlineshops bestand lange Zeit (seit Version 5.0.0).
Fehlfunktion der CSRF-Token-Validierung
CSRF Token (secure random token) wird genutzt, um die CSRF (cross-site request forgery) Attacken zu verhindern. Das Token sagt der Applikation, dass die HTTP Anfrage legitim formuliert wurde. Das Token wird für jede Nutzer-Session generiert und ist somit einzigartig. Wichtig dabei ist, dass das Token nicht in Session Cookies, sondern direkt in der HTML Form integriert ist. Das Token muss jedes Mal neu generiert werden, wenn der Benutzer eine kritische Aktion durchführen will. Dafür wird oft auch in Onlineshops eine sichere Hash-Funktion genutzt, um die Session-ID des Benutzers zu codieren. Falls der Server das neue Token nicht dem Test zuordnen kann, wird die Aktion abgebrochen.
Shopware Onlineshops haben seit Version 5.2.0 das Token nicht neu generiert, nachdem der Benutzer sich ein- oder ausgeloggt hat. Dadurch entstand die Gefahr, dass jemand sich in das Konto des Onlineshop-Benutzers einloggen kann, wenn dieser Zugang zu dem Gerät erhält, welches vorher in das Konto eingeloggt war.
Mehrfache Erzeugung von Tokens für die Passwort-Zurücksetzen-Funktion
Die Passwort-Zurücksetzen-Funktion ist in Shopware Onlineshops, wie auch in mehreren anderen Applikationen, durch die Tokens realisiert. Diese Tokens werden an die E-Mail-Adresse des Kontoinhabers geschickt, ist immer nur einmalig benutzbar und ist nur für einen begrenzten Zeitraum gültig.
Einer der wichtigsten Aspekte ist, dass nur ein aktives Token gleichzeitig existieren darf. Seit Shopware 5.0.4 bis Version 5.7.9 war diese Regel nicht implementiert und man konnte mehreren E-Mails mit mehrfachen Tokens erhalten. Hiervon ging allerdings nur eine geringe Gefahr aus.
Halten Sie Ihren Shopware 5 Onlineshop up-to-date mit alkima WEB & DESIGN!
Welche Website-Arten gibt es? 12 Varianten mit inspirierenden Website-Beispielen für Sie
Mit Ihrer eigenen Website zeigen Sie online, wer Sie sind, welche Leistungen Sie anbieten und warum Kunden genau bei Ihnen richtig sind. Kein Wunder also, dass 2023 bereits rund 69 % aller Unternehmen in Deutschland eine eigene Website hatten und diese Zahl wächst stetig weiter.
Online-Adventskalender für Unternehmen im E-Commerce: Vorfreude für Ihre Kunden, Mehrwert für Sie
Die Adventszeit bedeutet erwartungsvolle Tage, die mit vielen Momenten der Freude gefüllt sind. Genau dieses Erlebnis können Unternehmen heute mit einem Online-Adventskalender in den digitalen Raum übertragen und ihre Kunden Tag für Tag aufs Neue begeistern.
Apotheken-Onlineshop: Passgenau für „Die starken Apotheken“
Im E-Commerce nimmt der Verkauf von Medikamenten und Gesundheitsprodukten einen festen Platz ein. Die digitale Verfügbarkeit solcher Waren ist besonders wichtig, denn sie erleichtert den Zugang zu notwendigen Arzneimitteln und ermöglicht Kunden, diese unkompliziert online zu bestellen.
Shopware Updates April–Juli 2025: Major Release 6.7, neue KI-Funktionen und mehr für Ihren Shop
Von April bis Juli 2025 brachte Shopware viele Neuerungen: Im Fokus steht das Major Release 6.7, ergänzt durch zahlreiche Features, die Händlern und Entwicklern neue Möglichkeiten eröffnen.
Neue KI-Suche für bw-online-shop.com: API-Integration und Empfehlungen mit Batteryincluded
Wir begleiten seit 2017 den bw-online-shop und unterstützen diesen in allen Bereichen rund um Technik und Design. Der Onlineshop verfügt über ein riesiges Sortiment, das stetig wächst. Bei solch einer hohen Produktanzahl ist es besonders wichtig, dass die Funktionen wie Produktsuche und Empfehlungen schnell das richtige Ergebnis liefern.
Komplementärfarben im Webdesign: Wie Kontraste den Unterschied machen
Die Farbkombination ist im professionellen Webdesign kein Zufall – hinter einer stimmigen Gestaltung steckt oft ein durchdachtes Konzept. Besonders wirkungsvoll zeigen sich dabei Komplementärfarben. Sie erzeugen starke visuelle Kontraste, indem ein ausgewogenes und harmonisches Gesamtbild erstellt wird. Wer also Komplementärfarben richtig einsetzt, schafft nicht nur schöne Webdesigns, sondern verbessert auch die Benutzerfreundlichkeit – und letztlich die Konversionsrate.
Pipedrive: CRM-Lösung, die KMUs zum Erfolg führt
Der Vertrieb kann ziemlich herausfordernd sein – ständig neue Leads, laufende Verhandlungen und komplexe Prozesse, die viel Aufmerksamkeit erfordern. Genau hier kommt ein effektives CRM-System ins Spiel, das hilft, all diese Aufgaben zu organisieren und zu strukturieren.
DIGI-Zuschuss Hessen 2025 – Förderung von KMU für Digitalisierung
Kleine und mittelgroße Unternehmen (KMU) mit Sitz in Hessen können im Rahmen des Förderprogramms für Digitalisierungsmaßnahmen (DIGI-Zuschuss) im Jahr 2025 eine Förderung von bis zu 10.000 Euro erhalten.
Casting.de – Blog als strategisches Werkzeug für Sichtbarkeit und Kundenbindung
Die Kölner Full-Service-Agentur FAMEONME Casting GmbH gehört zu den führenden Casting-Profis für TV und Werbung in Deutschland. Zu ihren Kunden zählen unter anderem Coca-Cola, McDonald’s und Warner Brothers. Außerdem arbeitet die Agentur für bekannte Formate wie „Grill den Henssler“ und „Spiegel TV“.
