Wie sichere ich den Cronjob Aufruf des Import/Export Advanced Moduls ab

AndyB · 1. Februar 2017 um 14:22

Weiß jemand wie man den Cronjob-Aufruf „backend/SwagImportExportCron/cron“ für das Import/Export Advanced Modul absichert?

Setzen eines Keys unter Grundeinstellungen -> Cron-Sicherheit scheint ja anscheinend für diesen Cronjob nicht zu greifen.

LG Andy

AndyB · 28. September 2017 um 13:21

Niemand? Ist das ein Bug oder wurde vergessen abzusichern?

Ein hinterlegter " Gültiger Schlüssel" greift hier definitiv nicht.

Habe das gerade auch in mehreren größeren Shops getestet und es war dort auch öffentlich per URL zugänglich (bei 4 von 6 Shops!), nur keine Files zum importieren vorhanden.

GF06 · 28. September 2017 um 13:59

hallo ihr lieben

wie funktioniert der csv import.

Ich möchte komplette artikelstamm von der csv datei importieren, er zeigt mir immer fehler meldung,

was kann ich da am besten tun

AndyB · 19. Oktober 2017 um 08:17

Niemand?

Das ist doch ein Sicherheitsproblem liebes Shopware Team.

Nochmal: Der Aufruf des Import Cron ist durch die normale “Cron-Sicherheit” Funktion nicht abgesichert und öffentlich zugänglich.

Einfach mal bei Euch den folgenden Aufruf probieren: http://www.domain.de/backend/SwagImportExportCron/cron

Patrick_Stahl · 19. Oktober 2017 um 08:38

Moin @AndyB‍,

vielen Dank für den Hinweis.
Ich habe das mal in ein Ticket gegossen, sodass wir uns Thema mal anschauen.

Gruß,
Patrick

AndyB · 19. Oktober 2017 um 08:47

Vielen Dank!

Sehr schön und einfach erklärt das Ticket

hth · 19. Oktober 2017 um 09:03

@AndyB schrieb:

Weiß jemand wie man den Cronjob-Aufruf „backend/SwagImportExportCron/cron“ für das Import/Export Advanced Modul absichert?

Setzen eines Keys unter Grundeinstellungen -> Cron-Sicherheit scheint ja anscheinend für diesen Cronjob nicht zu greifen.

LG Andy

Du könntest die URL im vHost des Apache noch absichern - Zertifikat oder Passwort.

Das ist leider nicht die einzige Stelle bei der Shopware im Export-Modul nicht sorgfältig genug vorgeht. Die exportierten Dateien sind frei im Internet zugänglich. Der Link ist zwar nicht einfach zu erraten, aber das sollte ebenso wie der documents Ordner nicht von aussen zugänglich sein.

Patrick_Stahl · 19. Oktober 2017 um 09:05

@hth schrieb:

Du könntest die URL im vHost des Apache noch absichern - Zertifikat oder Passwort.

Das ist leider nicht die einzige Stelle bei der Shopware im Export-Modul nicht sorgfältig genug vorgeht. Die exportierten Dateien sind frei im Internet zugänglich. Der Link ist zwar nicht einfach zu erraten, aber das sollte ebenso wie der documents Ordner nicht von aussen zugänglich sein.

Moin,
das schlägt in Etwa in eine Kerbe.
Das nehme ich auch mal in das Ticket auf.

Gruß,
Patrick

Thema		Antworten	Aufrufe
Automatischer Import mit Cronjob Allgemein	15	5193	26. Januar 2020
[gelöst] Produktexport Modul, 2 Fragen Shopware 3.5 general	6	782	6. August 2012
Stündlicher Fehler bei Cron-Import über Shopware Import/Export Advanced seit 2.0.1 Administration	5	427	19. Dezember 2016
Automatischer Import via Cronjob Administration	3	945	21. März 2017
cronjob lässt sich nicht mehr aufrufen Administration	2	350	21. September 2017

Wie sichere ich den Cronjob Aufruf des Import/Export Advanced Moduls ab

Verwandte Themen