Hallo Shopware-Gemeinde, kann jeder X-Beliebige Artikelbewertungen schreiben? Leider werden wir in den letzten Tagen von Spam-Bewertungen belästigt. Mitkriegen tun wir allerdings nur diejenigen, bei denen der Freischaltlink nicht an den Bewerter zugestellt werden kann und daher bei uns eine Mailer-Daemon failure notice erzeugen. Wie ich hier gelesen habe, haben auch Andere dieses Problem. Was kann man tun? Es werden doch möglicherweise auch Emails an existierende Adressen losgeschickt – also unser Shop von außen zum Spammen missbraucht. Mir ist aufgefallen, dass jeder X-Beliebige Bewertungen abgeben kann. Das sollte aber nicht so sein. Ein Bewertung darf doch nur derjenige abgeben können, der den Artikel auch gekauft hat. Wo können wir das einstellen? Das würde dann höchstwahrscheinlich auch das Spam-Problem lösen. Viele Dank schonmal und viele Grüße Frank
Hallo Shopware-Gemeinde, wir brauchen dringend einen Tipp! Da das oben genannte Spamming über die Artikelbewertungen weiter zunimmt, bleibt uns jetzt erst einmal nichts anderes übrig, als die Bewertungen ganz abzuschalten. Es dürfen doch nur die Kunden eine Bewertung schreiben können, die den Artikel auch tatsächlich gekauft haben. Wo und wie können wir das einstellen??? Viele Grüße Frank
Hi, [quote]Es dürfen doch nur die Kunden eine Bewertung schreiben können, die den Artikel auch tatsächlich gekauft haben. Wo und wie können wir das einstellen???[/quote] Stimmt nicht…bei SW kann grundsätzlich jeder bewerten. Die Bewertung muss/kann dann von dir noch separat freigeschaltet werden… BTW: es wäre wirklich nicht schlecht wenn man das Captcha verbessern könnte…haben das o.g. Problem auch recht regelmäßig…kommt immer schubweise…ein paar Tage massig Spam und dann wieder wochenlang nichts…
Hallo Porter, vielen Dank für Deine Antwort. Es ist allerdings nicht nur so, dass wir Spams erhalten. Damit könnte man ja leben. Es ist vielmehr so, dass der Shop auf diese Weise von außen missbraucht wird, um Dritte zu spammen. Mir ist die Rechtslage zwar nicht ganz genau bekannt, aber ich gehe davon aus, dass wir als Shopbetreiber dafür verantwortlich sind, dass so etwas nicht vorkommt. Dass jeder X-Beliebige das Bewertungssystem benutzen kann, um E-Mails an irgendwelche Adressen zu senden, halte ich für eine große Sicherheitslücke. Es ist übrigens nicht nur das Bewertungssystem davon betroffen. Nachdem wir es abgeschaltet haben, hat sich der Spammer darauf verlegt, das Formular für defekte Artikel zum Spammen zu verwenden – obwohl ich nicht weiß, was ihm das bringen soll. Ok, es ist in Shopware nicht vorgesehen, dass nur Kunden, die den Artikel gekauft haben, bewerten können. Dazu müsste Shopware ja spreichern, welcher Kunde welche Artikel erhalten hat. (Ob Shopware das tut, weiß ich nicht. Wahrscheinlich schon, aber es wird nicht ausgewertet.) Es wäre schon eine Teillösung, wenn nur dann Bewertungen und Ähnliches abgegeben werden können, wenn man registrierter Kunde und angemeldet ist. Und das sollte doch eigentlich möglich sein. In irgendeiner Variablen müsste doch ersichtlich sein, dass ein Kunde sich angemeldet hat. Dann könnte man diese Variable im Template abfragen und abhängig davon die Bewertung zur Verfügung stellen oder eben nicht. Leider bin ich noch nicht tief genug in die Shopware-Materie eingedrungen, um zu wissen, welche Variablen wofür stehen und wie und wo man auf sie zugreifen kann. Ich würde nämlich sonst einfach beim Absenden des Formulars mit einem Datenbank-Zugriff überprüfen, ob die im Formular eingetragene Mail-Adresse bereits in der Datenbank vorhanden ist. So, wie es jetzt ist, kann ich das Problem jedenfalls noch nicht als gelöst betrachten. Viele Grüße Frank
wenn dem so ist, halte ich das für einen äußerst kritischen Fehler, den man sich als Shopbetreiber allein aus juristischen Gründen nicht erlauben darf. Komisch, dass es jetzt erst auffällt. Lösungen in Sicht?
Hallo Shopware-Gemeinde, Das Problem betrifft übrigens nicht nur das Berwertungssystem sondern alle Formulare, in denen der Kunde seine E-Mail-Adresse eintragen kann. Er kann dort ganz einfach eine fremde Adresse eintragen, an die dann eine Bestätigungsmail gesendet wird. Bei der Berwertung oder der Weiterempfehlung ist das für den Spammer besonders attraktiv, weil er ein Kommentar-Feld zur Verfügung hat, wo er Text unterbringen kann. Und beim Berwertungssytem ist das auch besonders kritisch, weil der Angemailte die Bewertung über den Link aktivieren kann. Wenn der Shopbetreiber dazu noch die Überprüfung der Bewertungen abgeschaltet hat (was er keinesfalls tun sollte!), wandert die Bewertung direkt in den Shop. Aber auch bei eingeschalteter Überprüfung wandert der Text des Spammers in die Shop-Datenbank. Die SQL-Injection-Filter ([Grundeinstellungen]>[System]>[InputFilter]) verhindern zwar, dass er dort Schaden anrichten kann, aber auch so können sich die Spams in der Datenbank anhäufen, die der Shopbetreiber dann regelmäßig löschen muss. Dass sich Shopsysteme zum Spammen missbrauchen lassen, ist ja nicht gerade neu. Irgendwann muss der Kunde eine E-Mail-Adresse eingeben (hoffentlich seine). Und dort kann immer ein Spammer ansetzen. Aber es gibt schon Möglichkeiten das einzugrenzen. Ein E-Mail-Adresse darf man nur an folgenden Stellen eingeben dürfen: 1. Bei der Anmeldung, wo zumindest auch die Adressdaten abgefragt werden. Dass der Kunde eine Anmeldebestätigung erhält, lässt sich zwar immer noch missbrauchen, aber es ist erschwert und auf diese eine Stelle begrenzt. 2. Bei einer Empfehlung an einen Anderen. Dort darf man dann allerding nur dessen E-Mail-Adresse eingeben können. Wenn nur ein registrierter Kunde etwas empfehlen kann, wird dessen E-Mail-Adresse dem Empfänger angezeigt. Da diese Adresse im Shop registriert ist, kann man als Betreiber bei Missbrauch dagegen vorgehen. 3. Bei der Newsletter-Anmeldung (s.u.). 4. Bei direkten Anfragen an den Shopbetreiber. Damit kann man zwar noch immer als Shopbetreiber gespammt werden, aber keine Dritten. Bewertungen und andere Service-Leistungen dürfen nur von registrierten Kunden in Anspruch genommen werden, wobei auf die registrierte E-Mail-Adresse zurück gegriffen wird. Die Eingabe einer E-Mail-Adresse ist dann nicht mehr erforderlich. Wenn das bei Shopware nicht möglich ist, muss man leider zumindest bei der Artikelbewertung auf das Double-Opt-In - also die Bestätigung durch den Kunden - verzichten ([Grundeinstellungen]>[Storefront]>[eMail-Einstellungen]), denn nur dann kann man bei der Bewertung keine E-Mail-Adresse angeben. Beim Newsletter-Versand sollte man eigentlich immer das Double-Opt-In-Verfahren benutzen. Wenn man es nicht benutzt, kann jeder für jeden X-Beliebigen Newsletter bestellen. Und wenn man es doch benutzt und auch nicht registrierte Besucher Newsletter bestellen können sollen - was ja auch beabsichtigt ist -, dann lässt sich das auch missbrauchen. Kann man, glaube ich, nicht viel gegen machen. Man sollte aber zumindest im Text darauf hinweisen, dass der Empfänger den Bestätigungslink nicht öffnen soll, wenn er den Newsletter nicht bestellt hat. Resümee: Teillösung: Bei Artikelbewertung auf Double-Opt-In verzichten, bei Newsletter Hinweistext einbauen. Ungelöst: Andere Serviceleistungen wie z.B. Weiterempfehlung lassen sich noch immer missbrauchen, solange diese nicht nur den registrierten Kunden vorbehalten sind. Viele Grüße Frank
Hallo Zusammen, das ist kein Sicherheitsrisiko, nur weil Robots es geschafft haben Anfragen über ein Formular abzusetzen. Das kommt immer mal wieder vor - betrifft allerdings kaum Installationen. Eine Option ist es, die Captchas in regelmäßigen Abständen zu verbessern - was wir auch machen. Dabei muss man aber auch einen Mittelweg gehen zwischen lesbar und nicht einfach lesbar. Man kann z.B. auch selber Farbe und Background des Captchas ändern, um so die Lesbarkeit zu erschweren (Backend -> Grundeinstellungen). Siehe auch: post39905.html#p39905 Beim Double-Opt-In Verfahren wird ja eine eMail zur Bestätigung verschickt. Eine andere Lösung wäre hier auch nicht machbar. Irgendwann muss das System eine eMail verschicken. Man erhält bei einer Shop-Registrierung auch eine eMail. Selbst die Registrierung haben schon einige Bots geschafft zu nutzen. Dafür gibt es z.B. auch eine Captcha-Erweiterung - aber das führt ja auch dazu, dass Kunden u.U. eine Shop Registrierung abbrechen, wenn dort bereits ein schwierig, lesbares Captcha erscheint. Bei Spam-Bots werden ja irgendwelche Adressen eingetragen, die vom Server nicht zugestellt werden können und daher zum Shopbetreiber zurückkommen. Das ist also kein Thema, was man mal einfach so komplett ändern kann. Natürlich sind Abfragen implementierbar, die z.B. prüfen, ob ein User eingeloggt ist oder nicht. Das kann man also schnell bei einigen Funktionen über das Template integrieren. Das ist im Standard allerdings aktuell nicht möglich / vorgesehen. Gruß, Dominic
Warum schaltet ihr das Bestätigen einer Bewertung nicht ab? So wird auch kein Feld eingeblendet, in das eine E-Mail eingetragen werden kann. Spam kommt doch eh, oder? Und die Spambewertungen sind schnell gelöscht. Noch was: Beim Plugin “Vereinfachte Artikelbewertung” wird ein eigenes Formular verwendet, das im Shop nirgends auftaucht. Die E-Mail zur Bewertung bekommen nur Kunden, die gekauft haben. Somit kannst Du Dein Template so anpassen, dass Du die original Eingabemöglichkeit zur Bewertung entfernst.
Hallo Zusammen, vielen Dank für die Antworten. Das Double-Opt-In für die Artikelbewertung abzuschalten, ist auch unsere (Teil)-Lösung (s.o.). Doch es befriedigt nicht wirklich, es abschalten zu müssen. Und es ist auch keine Lösung im Hinblick auf die Artikelempfehlungen. Anders als bei den Bewertungen kann vom Spammer dort auch noch ein individueller Text übermittelt werden. Sicher muss irgendwann eine E-Mail verschickt werden. Aber das sollten - außer in den von mir bereits aufgeführten Fällen (s.o.) - nur angemeldete, registrierte Nutzer können. Letztlich führt also kein Weg daran vorbei, nur diesen Nutzern Artikelbewertungen und -empfehlungen (und noch ein paar andere Dinge) zu erlauben. Nur so ist man als Shopbetreiber auch rechtlich auf der sicheren Seite. Eine Lösung des Problems seitens Shopware ist also nicht in Sicht, wenn ich die Antwort recht verstehe. Es wird uns also nichts anderes übrig bleiben, als Shopware selbst so umzustricken, dass nur angemeldete Kunden diese Optionen nutzen können. Und in dieser Richtung hatte ich von Shopware eigentlich etwas mehr Support erhofft. Wie heißt die Variable, an der ich feststellen kann, ob ein User eingeloggt ist? Wo kann ich auf sie zugreifen? Wo und wie kann ich auf die E-Mail-Adresse dieses Kunden zurückgreifen, um sie als Absender zu nutzen? Wo entferne ich das Formularfeld, in dem der Nutzer seine Absenderadresse eintragen kann? Oder alternativ für einen Abgleich der eingegebenen Email-Adresse mit der Datenbank: Wo findet die Überprüfung der Eingabe statt, um dort eine Datenbankabfrage einzubauen? Nebenbei: In unserem Fall glaube ich nicht, dass die Spams mit einem Bot erzeugt wurden. Es sieht vielmehr so aus, als hätte ein Konkurrent sie von Hand erzeugt, um zu schaden. Da hilft auch der beste Captcha nicht. Resümee: Problem nicht gelöst und auch keine Lösung in Sicht - schade! Viele Grüße Frank