Tematów dotyczących sklepu internetowego KQS miałem już nie poruszać żeby nie narażać się na nagły skok ciśnienia, jednak byłoby to nie w porządku w stosunku do osób prowadzących swój sklep internetowy oparty właśnie na oprogramowaniu KQS.
Niektórzy mogą potraktować tę publikację jako receptę na pozyskanie informacji o swej konkurencji korzystającej z oprogramowania sklepu internetowego KQS. Inni zaś mogą w nerwach i obawie o utratę obecnych stałych klientów wyłączyć swój sklep internetowy. Ja jednak zalecam zgłoszenie autorowi skryptu KQS tego istotnego błędu, nad którym zaraz zacznę się rozwodzić. Nie jestem jednak pewien czy go naprawi, gdyż różnie już bywało ze zgłaszanymi poprawkami i sugestiami… ale ten temat zostawmy.
Problem dotyczy formatu generowanych linków do strony z informacją o dokonanym zamówieniu. Kupując w przykładowym sklepie internetowym opartym o aplikację KQS osmotyczne filtry do wody po złożeniu zamówienia szczegóły mogę obejrzeć pod tym linkiem (już nie działa). Jest on wysyłany w mailu z potwierdzeniem złożenia zamówienia. Tak swoją drogą to czy nie dziwi Cię to, drogi Czytelniku, że możesz bez problemu obejrzeć zawartość tej strony? Patrząc na owy link widać związek pomiędzy długą liczbą w nim występującą, a datą zamówienia, godziną, numerem ID zamówienia. Dochodzi do tego jeszcze jedna cyfra, prawdopodobnie losowa, lecz tego nie mogę stwierdzić na sto procent. Schemat jest bardzo prosty: dzień miesiąca, miesiąc, rok, godzina, minut, numer zamówienia, losowa cyfra. Zgadza się?
I jak to teraz może wykorzystać konkurencja uzyskując dostęp do informacji o zamówieniach w sklepie internetowym na oprogramowaniu KQS? Wystarczy w odpowiedni sposób zmodyfikować link żeby sprawdzić zamówienia innych klientów. Nie chcę tutaj zamieszczać szczegółowego poradnika, gdyż ten artykuł ma pełnić rolę jedynie informacyjną i zachęcić właścicieli sklepów KQS do jak najszybszej reakcji i zgłoszenia problemu autorowi tego skryptu. Jednak co sprytniejsi na pewno będą wiedzieć jak wyeliminować dużą część linków do stron bez informacji o zamówieniach. Wiadomo też, że ręcznie nikt tych adresów nie będzie modyfikować, ale na ten temat już koniec.
Dlaczego to, delikatnie ujmując, niedociągnięcie oprogramowania KQS jest tak niebezpieczne? Otóż umożliwia ono dostęp do wszelkich zamówień zrealizowanych w sklepie, łącznie z danymi osobowymi klientów oraz formami płatności i transportu. Co z takimi informacjami może zrobić konkurencja pozostawiam już tylko Twojej wyobraźni…
*Po aktualizacji oprogramowania sklepu KQS problem fatalnego zabezpieczenia informacji o zamówieniach w sklepie został usunięty. Szkoda tylko, że tak późno i dopiero po opublikowaniu tego artykułu.
ehhh, wiedziałem, że to się w końcu wyda. Zgłaszam ten problem autorowi już od hohoho, ale jak zawsze bez odzewu i reakcji. Mam nadzieję, że po Twoim poście coś z tego wyniknie, chociaż osobiście wydaje mi się, że przy tak oczywistych dziurach lepiej jednak będzie zmienić oprogramowanie
Zgadza się – sprawa jest poważna… Pozostaje jedno – to co napisał przedmówca. No, chyba, że firma KQS Projekt przeobrazi się z postaci nadętego przedszkolaka w poważnego młodzieńca
Dziura jest bardzo bardzo poważna! konsekwencje prawne mogą być ogromne, może skończyć się za kratami! Odpowiedzialność raczej ponosi admin sklepu, a nie twórca softu:( przykro mi.
Zrobiłem na bardzo szybko zabezpieczenie. Do katalogu głównego trzeba wgrać plik o nazwie „.htaccess” o takie zawartości:
##########
Options FollowSymLinks
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} d=(zamowienie)
RewriteRule ^index.php(.*) / [F]
##########
Uwaga!!!, w sklepie należy wyłączyć „Potwierdzanie zamówień” o ile były włączone.
W tygodniu spróbuję coś lepszego wymyślić.
WAŻNY UPDATE 0.1 :)
#########
Options FollowSymLinks
RewriteEngine On
RewriteBase /
RewriteCond %{QUERY_STRING} d=(zamowienie)
RewriteRule ^.* / [F]
#########
mam ten sklep od niedawna ale powiem ze jestem trochę zaskoczony opiniami kolegów czyli co bez .htaccess niema sie co bawić w ten sklep ???
ale co z tym nowym update – wyłączyć czy włączyć potwierdzenia zamówień ….
ja raczej nie moge wylaczyc pot zamowien
Potwierdzenia zamówień muszą być wyłączone ponieważ po dodaniu tego .htaccess klient klikając w potwierdzenie zobaczy ERROR, nie miałem czasu tego dopracować.
Update 0.1 dotyczył nowego kodu, który trzeba wgrać do .htaccess
Mam pytanie – juz tyle na tema sklepow sie oczytalem, wiec ktory ma podobna funkcjonalnosc jak tek a i jest dopracowany?
Pozdrawiam