Captcha/Sicherheitscode und HTTP"S"

Hi, ich habe gerade festgestellt, dass bei dem Kontaktformular oder auch bei einem Partnerformular das wir auf www.jipo.de unter “Partner werden” integriert haben ein Problem im Zusammenhang mit HTTPS auftaucht. Das Formular wird sauber im HTTPS aufgerufen nur das anzuzeigende Captcha nicht ;-(( Das macht bei Internet Explorer 8 je nach Sicherheitseinstellungen Probleme, so dass das Captcha nicht angezeigt wird. Kann mir jemand sagen wo diese Captcha gesetzt wird - weil es ja im TPL wie folgt eingebunden ist: !({url controller=‘captcha’ rand=$rand})Ich verstehe nicht warum dann das Captcha nur über HTTP kommt. Vg Joerg

Moin, einfach forceSecure mit in den Tag schreiben Also {url controller=captcha forceSecure}

1 Like

Hi, danke für den ersten Step der Lösung. Das gesamte Problem ist aber noch nicht gelöst, da egal wo ein User mit dem Internet Explorer 8 oder 9 und etwas verschärften Sicherheitseinstellungen arbeitet - immer wieder Probleme hat gewisse Teile der Seite anzuzeigen - die nicht richtig bzw. nur über HTTP angezogen werden. Zum Beispiel bei der Kasse wird die gesamte Seite über HTTPS geladen aber die Artikelbilder nur über HTTP. Die User sehen dann die Seite ohne die Artikelbilder. Hierfür muss es doch eine globale Lösung geben !!! Kann mir hier jemand helfen ??? Vielen Dank

[quote=“jipo”] Hierfür muss es doch eine globale Lösung geben !!! Kann mir hier jemand helfen ??? [/quote] 4 Monate später, gleiches Problem, trotz Supportvertrag…

Hi, für das Captcha ist die Lösung genannt. Im gesamten Checkout Prozess gibt es im Standard kein einziges SSL Problem. Auch keine Warnung im IE! Da musst du also bei dir was defekt haben und vielleicht ein Plugin aktiv, was das verursacht. Ich kann definitiv bestätigen, dass es kein Problem in Standard Shopware ist. Habe gerade auch im Checkout verschiedene Referenzen geprüft! Ich glaube bei jipo wurde es auch gelöst oder? Meine hier was gelesen zu haben in einem anderen Thread… MfG Harald Ps: mit Supportvertrag würde ich bei Shopware mal nachfragen.

das sehe ich auch so, dass hier eine fehlkonfiguration seitens des betreibers vorliegt. und es gibt anscheinend einen supportvertrag. dann wird es wohl kein problem sein, innerhalb 4 monaten die richtige frage an den richtigen mitarbeiter bei shopware zu stellen. alternativ würde ich hier einen link „auf das problem“ veröffentlichen, dann wirds auch klarer. vielleicht sind irgendwelche bilddateien oder sonstige elemente im footer oder anderswo nicht relativ sondern absolut verlinkt, also statt /images/bild.jpg wird http://undsoweiter verwendet. dann kann innerhalb von ssl verschlüsselten seiten eine warnmeldung kommen, weil die bilder nicht sicher geladen werden können.

Hi, nachdem ich das gerade hier lese stelle ich fest, dass das Kontaktformular bei mir gar nicht mit HTTPS aufgerufen wird. Eine Fehlermeldung gibt es auch nicht! ??? Wie finde ich heraus woran das liegt?

Hi, das Kontaktformular wird standardmäßig nicht via SSL aufgerufen - dort werden ja keine sensiblen Daten übermittelt, die diesen Schritt rechtfertigen würden.

[quote=„Stefan Hamann“]Hi, das Kontaktformular wird standardmäßig nicht via SSL aufgerufen - dort werden ja keine sensiblen Daten übermittelt, die diesen Schritt rechtfertigen würden.[/quote] Stimmt, und deswegen geht da ja auch das Captcha nicht… Dazu werde ich ja heute noch ein Telefonat mit Trusted Shops führen. Weil is ja klar, is doch wurscht, was mir User von draussen übermitteln, nicht wahr? Lustigerweise schützt ja auch Trustedshops sein Kontaktformular mit SSL. Aber das werden wir jetzt mal aussitzen…

Standardmäßig werden Login / Registrierung und Checkout via SSL verschlüsselt - das ist Standard. Wenn du mehr möchtest, pass es deinen Wünschen entsprechend an. Die Lösung für das Captcha findest du oben im Thread. Ob es nun sinnvoll und wichtig ist, den kompletten Store via SSL auszuliefern, muss jeder für sich selbst entscheiden. Das kann auf älteren Servern auch ein Performance-Thema sein. Zum Thema Kontakt-Formular. Unser Kontakt-Formular wird standardmäßig nicht per https aufgerufen - also keine Ahnung wo du da unterwegs bist. Um das aber anzupassen und um zum Thema zurückzukehren, ist nur eine minimale Template-Modifikation notwendig. Datei _default\frontend\index\menu_left.tpl Man ersetze: {url controller=‘custom’ sCustom=$item.id title=$item.description} durch: {url controller=‘custom’ sCustom=$item.id title=$item.description forceSecure} Dadurch werden alle statischen Inhalte auf der linken Seite, also auch die Formulare, via https verlinkt.

Hallo Herr Hamann, wenn ich den vorherigen Screenshot dieses Beitrages mit dem aktuellen Stand vergleiche, so sehe ich hier einige Differenzen :stuck_out_tongue: Also gut, folgendes: warum will jemand seinen Shop vollverschlüsselt abwickeln? Dafür gibt es viele Gründe: 1. Kundenvertrauen. So ein Schloss oder generell grüner Balken für Extended Validation machen sich nicht nur beim Online-Banking gut, sondern erhöht nachweislich die Conversion-Rate. 2. es gibt Shops, die laufen u.U. sonst nicht auf Behördenrechnern, Intranet, etc. Port 80 wird ab und an geblockt/gedrosselt, mit Port 443 ist das etwas schwerer. 3. Woher will ich wissen, was ein Kunde in meinem Kontaktformular eingibt? Klar kann ich drunterschreiben, selber schuld, wenn Du hier sensible Daten eingibst. Ist das aber nicht kunden-unfreundlich? 4. Alleine der Checkout per HTTPS ist leider so nicht richtig. Wenn der Kunde schon seinen Geburtstag eingibt, ist das für meinen (und auch den des Datenschutzbeauftragten) Geschmack sehr fade, wenn hier nicht schon SSL an ist… 5. wozu habe ich dann eigentlich den Haken im Backend, wenn ich ständig selbst/alles im Template frickeln muß? Vielleicht einfach noch ein Häkchen setzen, für nur Checkout, Formulare, etc… Macht vieles leichter, und manche Plugin-Schreiber lesen gewisse Daten aus der DB aus (Shop-Base), und da gehen dann schon die Probleme los… 6. und zu guter Letzt: der gepostete Schnippsel ist leider so nicht brauchbar. Ich muß meinem Shop ja schon per se von Beginn an mitteilen, bitte nur noch HTTPS. Sonst ist alles andere (wie z.B. Navi und Co.) ja leider noch immer http, und ich kann mir wieder einen Ast in der htaccess frickeln… (und JA, ich habe forceSecure schon probiert; sowohl im Enterprise- als auch im Professional-Shop des Kunden…) Wie schon gesagt, ich warte noch auf ein Statement von Trusted Shops, und dann auf das des Landesdatenschutzbeauftragten… :wink:

Einen kompletten Shop SSL-"voll"verschlüsselt (also auch außerhalb sensibler Bereiche) anzubieten ist einfach kein “Standard” und in der Praxis nicht verbreitet, weil nicht notwendig. Das wird auch Trusted-Shops nicht einfordern. In der Regel machen das nur diejenigen, die sich kein echtes SSL-Zertifikat leisten möchten und statt dessen auf den SSL-Proxyserver des Webhosters ausweichen. Aber für diese (wenigen) Shopbetreiber gibt es sowieso kein Erbarmen. Zum “grünen Balken für Extended Validation” ist soviel zu sagen, dass dieser Balken bzw. diese Funktion nur mit den sehr teuren SSL-Zertifikaten erreicht werden kann. Für Online-Banking oder andere äußerst sensible Datenübertragungen mag diese Kennzeichnung hilfreich sein, um Vertrauen zu erhalten. Für einen Shopkunden finde ich diese Art der Verschlüsselung nicht erforderlich. Ob man nun das Kontaktformular verschlüsselt anbieten will, kann jeder selbst entscheiden (und für seinen Shop ändern). Wenn es dafür keine Bordmittel gibt, kann darüber sicher auch seitens Shopware nachgedacht werden.

Hallo, ich hole den Beitrag mal hervor. Wie ich eben festgestellt habe, wir bei mir das Kontaktformular per https aufgerufen, und dann kommt die Sicherheitswarnung wegen dem Captcha, da dies nicht per https eingebunden ist. Ich kann mich im Moment nicht dran erinnern, irgendwo dsbzgl. etwas eingestellt zu haben und finde auch keine Einstellung dazu. Beim Link ist shopware.php?sViewport=ticket&sFid=5 eingetragen. Wo/wie muss ich das forceSecure eingeben bzw. wie kann ich den Aufruf des Formulares auf http umstellen? Im Forum finde ich ich nichts dazu, übersehe aber auch mal gerne Sachen (die Suche könnte mal verbessert werden… AND/OR etc… :wink: ) Danke und viele Grüße Heiko

Hallo Heiko, die Anpassung findest du hier auf der ersten Seite des Beitrages ganz unten :wink: Da müsste die gesuchte Änderung sein…

1 Like

Hallo, danke für die Antwort. Aber dort gibt es kein forceSecure, und die anderen Seiten werden auch nicht per https aufgerufen. [ Bei den anderen wird nur auf http://www.Domain…. verlinkt, nur beim Kontaktformular steht vor dem www. noch das https:// Hmm, also wie bekomme ich entweder das https beim Kontaktformular weg oder für das Captcha -Bild hinzu? —> edit: Müsste in der style.css oder in einer .tpl gehen… Ich suche und teste das mal nachher, wenn ich Zeit dafür habe. Jetzt muss erstmal gepackt werden… VG - Heiko]({if $item.link}{$item.link}{else}{url controller=‚custom‘ sCustom=$item.id title=$item.description}{/if} „{$item.description}“)

Hallo, du kannst wie von Stefan beschrieben in der Datei für die Formulare ein forceSecure einfügen. Dann wird das Captcha-Bild via https aufgerufen. Du kannst die Verlinkung unter Shopseiten auch ändern und statt shopware.php?sViewport=ticket&sFid=5 auch einfach shopware.php?sViewport=support&sFid=5 nehmen. Dann sollte global beim Formular keine https mehr genutzt werden.

Hallo Sebastian, danke - so leicht kann es sein. Da wir das Ticket-System eh nicht nutzen, habe shopware.php?sViewport=support&sFid=5 eingetragen und schon geht es. Grüße - Heiko