Nutzern der Open-Source-Shopsysteme osCommerce oder xt:commerce in Verbindung mit iPayment-Kreditkartenzahlung wird dringend die Installation eines Patches empfohlen, um eine gefährliche Lücke bei der Bezahlung im Shop zu schließen. Der Fehler ermöglicht unter bestimmten Bedingungen einen Einkauf ohne Zahlung.
Hier erhalten Sie weitere Informationen und Links zum Bug-Fix.
Weitere Informationen finden Sie bei heise.de:
Wie viele Shops genau von dem Problem betroffen sind, ist unbekannt. Schätzungen zufolge kommen die beiden Shop-Systeme zusammengenommen auf 25 Prozent Marktanteil – allein xt:commerce soll auf rund 100.000 Servern weltweit seine Arbeit verrichten. Sowohl für osCommerce als auch für xt:commerce stehen Patches bereit, um die Schwachstelle zu beheben. Anwender von xt:commerce werden bereits per Newsletter über das Problem informiert. ipayment will im Laufe des heutigen Tages seine ipayment-Händler anschreiben, die die genannten Shopsysteme einsetzen.
Darüber hinaus werden die Shops mit dem Patch nun auch den Anforderungen der Kreditkartenherausgeber gerecht. Bislang verarbeiten sie trotz gegenteiliger Behauptung nämlich sehr wohl Kreditkartendaten, was sie laut PCI-DSS-Standard (PDF-Dokument) eigentlich nicht dürften – und weshalb sie ja auf externe Zahlungsdienstleister wie ipayment zurückgreifen.
Von 1&1, dem Betreiber von iPayment, wurde uns soeben bestätigt, dass der Fehler nicht im Zahlungssystem sondern in einem fehlerhaften Shopmodul liegt.
Patch steht zum Download bereit
Durch das aktualisierte Modul wird eine Lücke in der Shopsoftware geschlossen, die ein Ändern des Bestellstatus ohne Durchführung der Zahlung ermöglicht.
Peinlich peinlich kann man da nur sagen. Aber es bestätigt nur meine persönliche Meinung über OpenSource.
Und keiner weiß welche Risiken in diesen Systemen noch so schlummern. Ich möchte sicher nicht alles an OS… schlecht machen, aber für mich hat sich der Griff zu einer Software eines Fachanbieters mehr als gelohnt. Hier sind die Einstiegskosten zwar anfangs höher, aber letztendlich rentiert es sich langfristig sowieso.
Und als Händler ist es mir lieber einen EDV Partner zu haben, der sich den ganzen Tag mit meiner Technik auseinander setzt. Ich selbst will erst gar nicht wissen, wie ich ein PATCH einspiele.
Will ich Handel betreiben, oder mich als gleichzeitiger Möchtegernentwickler behaupten? Na ja, das kann wohl jeder für sich selbst am besten herausfinden. In der ewigen Zeit die ich brauchen würde mich mit dem Kram zu beschäftigen habe ich x-Tausend Euro mehr Umsatz durch kaufmännische Entscheidungen generiert.
OpenSource_Naja?
Also wenn ich solch einen geschwollenen Quatsch lese, bekomme ich das …! Es hat nunmal nicht jeder soviel Geld, der einen Onlineshop betreit, wie Sie. Ein EDV-Partner, der sich den ganzen langen Tag um Ihren Shop kümmert (das glauben Sie doch nicht wirklich, oder?) hat nunmal nicht jeder, der vielleicht nur ein Paar Briefmarken verkaufen möchte. Jedem das Seine.
Aber wenn auch die “ach so teuer” bezahlten Systeme wirklich so toll sind, frag ich mich, warum selbst bei Microsoft so viele Updates im Laufe der Zeit erscheinen….
Vielleicht ist doch nicht immer alles Teuere so toll?
Habe noch nie besseren Text zu diesem Thema gelesen. Verständlich und gut präsentiert… Danke!