Plötzlich mit Kundenaccount angemeldet!

Du hast ein Problem gefunden und weißt nicht genau wo es hinpasst...
Mieze
Beiträge: 21
Registriert: Mi 28. Jul 2010, 18:16
Shop Version: Webs V1.0.13a

Plötzlich mit Kundenaccount angemeldet!

Beitrag von Mieze »

Hallihallo,

ich bin gerade baff: Eben klicke ich auf meine bereits geöffnete Shopseite, um mich erneut anzumelden nach dem automatischen Logout - um dann feststellen zu müssen, dass ich in einem Kundenaccount mit gefülltem Warenkorb gelandet bin. :shock:

Wie kann das passieren? Kann das auch Kunden untereinander passieren? Das macht mir jetzt etwas Angst.. :|
Viele Grüße von Dani :)
Kopernikus
Beiträge: 390
Registriert: Fr 19. Okt 2012, 12:15

Re: Plötzlich mit Kundenaccount angemeldet!

Beitrag von Kopernikus »

Genau dass, ist einem Kunden von mir vor ca. 4 Jahren mit dem alten Ecombase Shop auch passiert. Der hat dann einen riesen Wirbel veranstaltet und uns sogar mit einer Anzeige wegen fahrlässigem Datenschutz gedroht. Ich habe nach diesem Vorfall meinen Shop auf SSL umgestellt und seitdem nie mehr Probleme gehabt. Ich weiss allerdings nicht, wieso dieser Fehler überhaupt auftreten konnte. Die Lösung Deines Problems würde mich aber auch sehr interessieren.
yogi
Administrator
Beiträge: 292
Registriert: Do 6. Mai 2010, 14:16
Shop Version: die aktuelle
Wohnort: Köln
Kontaktdaten:

Re: Plötzlich mit Kundenaccount angemeldet!

Beitrag von yogi »

Hi,

weißt Du noch was du vorher gemacht hast?

gibt es Log-Aufzeichnungen von dem Server?
Mieze
Beiträge: 21
Registriert: Mi 28. Jul 2010, 18:16
Shop Version: Webs V1.0.13a

Re: Plötzlich mit Kundenaccount angemeldet!

Beitrag von Mieze »

yogi hat geschrieben:Hi,

weißt Du noch was du vorher gemacht hast?

gibt es Log-Aufzeichnungen von dem Server?
Ich hatte bei ein paar Bestellungen den Bestellstatus geändert und den Shop dann ne Weile in einem Tab unbeaufsichtigt gelassen. Als ich dort weiterarbeiten wollte und mich eigentlich erneut anmelden wollte war ich auf einmal als eine Kundin eingeloggt. Hab das nicht mal gleich gemerkt, sondern nur verwirrt den Warenkorb leergemacht und überlegt, wie ich da mehrere Artikel reinbekommen hatte ohne es zu wollen - bis ich dann auf der Startseite die falsche Begrüßung lese.. :?

Wer müsste diese Log-Aufzeichnungen haben? Ich oder der Hoster? :oops:
Viele Grüße von Dani :)
yogi
Administrator
Beiträge: 292
Registriert: Do 6. Mai 2010, 14:16
Shop Version: die aktuelle
Wohnort: Köln
Kontaktdaten:

Re: Plötzlich mit Kundenaccount angemeldet!

Beitrag von yogi »

Hi,

wenn dann der hoster - nennt sich access-log vom HTML-Server (i.d.R. ein Apache).
Versuche auch die Uhrzeit aufzuschreiben wann das passiert ist damit man leichter suchen kann.
Mieze
Beiträge: 21
Registriert: Mi 28. Jul 2010, 18:16
Shop Version: Webs V1.0.13a

Re: Plötzlich mit Kundenaccount angemeldet!

Beitrag von Mieze »

yogi hat geschrieben:Hi,

wenn dann der hoster - nennt sich access-log vom HTML-Server (i.d.R. ein Apache).
Versuche auch die Uhrzeit aufzuschreiben wann das passiert ist damit man leichter suchen kann.
Ich versuch mal, das log aufzutreiben.

Das ist um 13 Uhr rum passiert - kurz bevor ich den Thread hier eröffnet hatte.
Viele Grüße von Dani :)
Mieze
Beiträge: 21
Registriert: Mi 28. Jul 2010, 18:16
Shop Version: Webs V1.0.13a

Re: Plötzlich mit Kundenaccount angemeldet!

Beitrag von Mieze »

Log ist per E-Mail unterwegs zu yogi! :)
Viele Grüße von Dani :)
Xantiva
Beiträge: 948
Registriert: Mo 10. Mai 2010, 16:26
Shop Version: 1.0.10 [dev]
Kontaktdaten:

Re: Plötzlich mit Kundenaccount angemeldet!

Beitrag von Xantiva »

Gibt es evtl. irgendwo einen Link zum Shop mit einer Session ID? (?XTCsid=....)
Mein Shop: http://www.basteln-selbermachen.de
Xantiva
Beiträge: 948
Registriert: Mo 10. Mai 2010, 16:26
Shop Version: 1.0.10 [dev]
Kontaktdaten:

Re: Plötzlich mit Kundenaccount angemeldet!

Beitrag von Xantiva »

Ich habe gerade mal einen Blick auf den Shop geworfen: Gibt es einen Grund, warum ohne Cookie und immer nur mit der Session ID in der URL gearbeitet wird?
Mein Shop: http://www.basteln-selbermachen.de
yogi
Administrator
Beiträge: 292
Registriert: Do 6. Mai 2010, 14:16
Shop Version: die aktuelle
Wohnort: Köln
Kontaktdaten:

Re: Plötzlich mit Kundenaccount angemeldet!

Beitrag von yogi »

Hi Xantiva,

ich glaube nicht daß es dafür einen Grund gibt. Und genau hier liegt auch das Problem.

wenn nun jemandem ein solcher Link gefällt so teilt er diesen zum beispiel über Facebook mit - und schon kann jemand die Session "stehlen" wenn dann im backend noch die IP-Prüfung wie in diesem Fall deaktiviert ist...

Im Log erkennt man sehr gut woher die XTCsid kommt über die dann der Kundenaccount gehijackt wurde.

Gruß Yogi
Antworten