Plötzlich mit Kundenaccount angemeldet!
Plötzlich mit Kundenaccount angemeldet!
Hallihallo,
ich bin gerade baff: Eben klicke ich auf meine bereits geöffnete Shopseite, um mich erneut anzumelden nach dem automatischen Logout - um dann feststellen zu müssen, dass ich in einem Kundenaccount mit gefülltem Warenkorb gelandet bin.
Wie kann das passieren? Kann das auch Kunden untereinander passieren? Das macht mir jetzt etwas Angst..
ich bin gerade baff: Eben klicke ich auf meine bereits geöffnete Shopseite, um mich erneut anzumelden nach dem automatischen Logout - um dann feststellen zu müssen, dass ich in einem Kundenaccount mit gefülltem Warenkorb gelandet bin.
Wie kann das passieren? Kann das auch Kunden untereinander passieren? Das macht mir jetzt etwas Angst..
Viele Grüße von Dani
-
- Beiträge: 390
- Registriert: Fr 19. Okt 2012, 12:15
Re: Plötzlich mit Kundenaccount angemeldet!
Genau dass, ist einem Kunden von mir vor ca. 4 Jahren mit dem alten Ecombase Shop auch passiert. Der hat dann einen riesen Wirbel veranstaltet und uns sogar mit einer Anzeige wegen fahrlässigem Datenschutz gedroht. Ich habe nach diesem Vorfall meinen Shop auf SSL umgestellt und seitdem nie mehr Probleme gehabt. Ich weiss allerdings nicht, wieso dieser Fehler überhaupt auftreten konnte. Die Lösung Deines Problems würde mich aber auch sehr interessieren.
-
- Administrator
- Beiträge: 292
- Registriert: Do 6. Mai 2010, 14:16
- Shop Version: die aktuelle
- Wohnort: Köln
- Kontaktdaten:
Re: Plötzlich mit Kundenaccount angemeldet!
Hi,
weißt Du noch was du vorher gemacht hast?
gibt es Log-Aufzeichnungen von dem Server?
weißt Du noch was du vorher gemacht hast?
gibt es Log-Aufzeichnungen von dem Server?
Re: Plötzlich mit Kundenaccount angemeldet!
Ich hatte bei ein paar Bestellungen den Bestellstatus geändert und den Shop dann ne Weile in einem Tab unbeaufsichtigt gelassen. Als ich dort weiterarbeiten wollte und mich eigentlich erneut anmelden wollte war ich auf einmal als eine Kundin eingeloggt. Hab das nicht mal gleich gemerkt, sondern nur verwirrt den Warenkorb leergemacht und überlegt, wie ich da mehrere Artikel reinbekommen hatte ohne es zu wollen - bis ich dann auf der Startseite die falsche Begrüßung lese..yogi hat geschrieben:Hi,
weißt Du noch was du vorher gemacht hast?
gibt es Log-Aufzeichnungen von dem Server?
Wer müsste diese Log-Aufzeichnungen haben? Ich oder der Hoster?
Viele Grüße von Dani
-
- Administrator
- Beiträge: 292
- Registriert: Do 6. Mai 2010, 14:16
- Shop Version: die aktuelle
- Wohnort: Köln
- Kontaktdaten:
Re: Plötzlich mit Kundenaccount angemeldet!
Hi,
wenn dann der hoster - nennt sich access-log vom HTML-Server (i.d.R. ein Apache).
Versuche auch die Uhrzeit aufzuschreiben wann das passiert ist damit man leichter suchen kann.
wenn dann der hoster - nennt sich access-log vom HTML-Server (i.d.R. ein Apache).
Versuche auch die Uhrzeit aufzuschreiben wann das passiert ist damit man leichter suchen kann.
Re: Plötzlich mit Kundenaccount angemeldet!
Ich versuch mal, das log aufzutreiben.yogi hat geschrieben:Hi,
wenn dann der hoster - nennt sich access-log vom HTML-Server (i.d.R. ein Apache).
Versuche auch die Uhrzeit aufzuschreiben wann das passiert ist damit man leichter suchen kann.
Das ist um 13 Uhr rum passiert - kurz bevor ich den Thread hier eröffnet hatte.
Viele Grüße von Dani
Re: Plötzlich mit Kundenaccount angemeldet!
Log ist per E-Mail unterwegs zu yogi!
Viele Grüße von Dani
Re: Plötzlich mit Kundenaccount angemeldet!
Gibt es evtl. irgendwo einen Link zum Shop mit einer Session ID? (?XTCsid=....)
Mein Shop: http://www.basteln-selbermachen.de
Re: Plötzlich mit Kundenaccount angemeldet!
Ich habe gerade mal einen Blick auf den Shop geworfen: Gibt es einen Grund, warum ohne Cookie und immer nur mit der Session ID in der URL gearbeitet wird?
Mein Shop: http://www.basteln-selbermachen.de
-
- Administrator
- Beiträge: 292
- Registriert: Do 6. Mai 2010, 14:16
- Shop Version: die aktuelle
- Wohnort: Köln
- Kontaktdaten:
Re: Plötzlich mit Kundenaccount angemeldet!
Hi Xantiva,
ich glaube nicht daß es dafür einen Grund gibt. Und genau hier liegt auch das Problem.
wenn nun jemandem ein solcher Link gefällt so teilt er diesen zum beispiel über Facebook mit - und schon kann jemand die Session "stehlen" wenn dann im backend noch die IP-Prüfung wie in diesem Fall deaktiviert ist...
Im Log erkennt man sehr gut woher die XTCsid kommt über die dann der Kundenaccount gehijackt wurde.
Gruß Yogi
ich glaube nicht daß es dafür einen Grund gibt. Und genau hier liegt auch das Problem.
wenn nun jemandem ein solcher Link gefällt so teilt er diesen zum beispiel über Facebook mit - und schon kann jemand die Session "stehlen" wenn dann im backend noch die IP-Prüfung wie in diesem Fall deaktiviert ist...
Im Log erkennt man sehr gut woher die XTCsid kommt über die dann der Kundenaccount gehijackt wurde.
Gruß Yogi