Hallo, im Zusammenhang mit der Passwort-Recovery-Funktion sind folgende Probleme aufgefallen, die die Sicherheit der Shop-Software beeinträchtigen können: 1. Obwohl als Admin in den Grundeinstellungen > Storefront > Anmeldung/Registrierung eine Mindestlänge für Passwörter bei der Registrierung festgelegt werden kann, so wird diese Funktion bei dem Passwort-Recovery über die Anmeldung beim Shop-Frontend wieder ausgehebelt. Im Backend habe ich eine Paswortlänge von 8 Zeichen konfiguriert, dass Passwort-Zurücksetzen generiert aber immer nur ein 6-stelliges Passwort und sendet es dem Benutzer zu. Hier sollte der konfigurierte Wert aus den Admin-Einstellungen übernommen werden, da sonst Brute-Force-Attacken Vorschub geleistet wird. 2. Bei der Passwort-Recovery-Funktion wird nach der bisherigen E-Mail-Adresse als Login-Namen gefragt. Gibt man eine falsche Adresse ein, so zeigt das System einen Fehler an, bei der richtigen Adresse erscheint die Meldung, dass das Passwort versendet wurde. Das ist soweit problematisch, als dass sich so gültige E-Mail-Adressen erraten lassen. Was den Umstand noch etwas verschärft ist wie unter 1 beschrieben, dass das Passwort auf 6 Zeichen (immer ohne Sonderzeichen) zurückgesetzt wird. Hier kann nun eine Brute-Force-Atacke recht gut ansetzen. Mein Vorschlag bei der Eingabe der E-Mailadresse und Anforderung eines neuen Passwortes wäre eine “neutrale” Benachrichtigung wie z. B. “Aktion durchgeführt, sofern die E-Mailadresse im System bekannt ist, wurde Ihnen das neue Passwort zugesandt” Getestet mit Shopware Version 4.3.0
Hi, danke, dafür gibt es teilweise schon Tickets: http://jira.shopware.de?ticket=SW-7380 http://jira.shopware.de?ticket=SW-8070 Für den von dir genannten Punkt (2) habe ich gerade kein Ticket gefunden, das könntest du nochmal bei Jira anlegen, da ist es richtig aufgehoben. Mit besten Grüßen, Daniel
Hallo Daniel, die Ticket sind zum Teil bald 1 Jahr alt. Warum diese nicht umgesetzt werden ist mir schleierhaft. Sicherlich gibt es wichtigere Tickets aber das ist ja nun auch nichts besonders aufwändiges. Ich bezweifle daher, dass es etwas nützt noch ein weiteres Ticket zu diesem Thema anzulegen.
Nur zur Info: https://github.com/ShopwareAG/shopware- … 0c0a56785f Das ist umgesetzt und kommt im nächsten Update http://jira.shopware.de/?ticket=SW-8821 Sebastian