Magento weist auf kritische Sicherheitslücke hin
Magento hat gestern, am 05.07.2012, bekannt gegeben, dass ein Sicherheitsrisiko im Zend-Framework besteht, das jedoch leicht gepatcht werden kann.
Das Problem:
Die potentielle Schwachstelle erlaubt einem Angreifer jede Datei auf dem Server zu lesen, bei der Zend XMLRPC aktiviert ist. Dies beinhaltet auch Passwort- und Konfigurationsdateien, sowie die Datenbanken, sofern sie auf dem selben Rechner liegen.
Die Lösung:
Für die Magento Enterprise und Professional Edition liegt ein Patch zum Download in ihrem Kundenkonto bereit.
Für die kostenfreie Community Edition gehen Sie wie folgt vor:
Für die Versionen 1.4.0.0 bis 1.4.1.1 finden Sie den Patch Hier.
Für die Version 1.4.2.0 gelangen Sie Hier zum gewünschtem Patch.
Und für die Versionen 1.5.0.0 - 1.7.0.1 klicken Sie Hier.
Workaround:
Wenn der Patch nicht gleich angewendet werden kann, so können Sie auf diesem Wege die RPC-Funktionalität temporär ausschalten. Durch diese Methode werden alle Funktionen, die auf die XMLRPC API angewiesen sind, somit nicht weiter funktionieren.
- Loggen Sie sich auf dem Magento-Server ein
- Wechseln Sie in /app/code/core/Mage/Api/controllers
- Öffnen Sie die Datei XmlrpcController.php
- Löschen oder kommentieren Sie den Body der Methode public indexAction() aus
- Speichern, das war´s
Wenn Sie Erfahrungen in Sachen IDS haben so überwachen Sie das RPC-Interface auf mögliche Angriffe.
Die nächsten Releases von Magento werden den Patch beinhalten.
Magento in Version 1.7.0.1 erschienen
Am 20.06.2012 ist das Update auf Version 1.7.0.1 von der Shopsoftware Magento in der Community Edition erschienen.
Die Neuerungen:
- Verbesserung des PayPal UserInterface im BackEnd.
- Funktionalität für verschachtelte Fieldsets in der Systemkonfiguration wurden hinzugefügt.
- Unterstützung für erweiterte und geteilte Konfigurationsfelder.
- Es wurde die Möglichkeit eingeplegt Felder von anderen Fieldsets abhängig zu gestalten.
- Und noch ein paar Bugfixes was die Sicherheit betrifft.
Der Download befindet sich auf dieser Seite.
Magento Version CE 1.7.0.0 - freigegeben!
Magento veröffentlicht Community Version CE 1.7.0.0 mit einer ganzen Reihe von neuen Verbesserungen und Features.
Zu den wichtigsten Neuerungen zählen:
- Verbesserter Layered Navigation Price-Bucket-Algorithmus (verschiedene Preisstufen für dasselbe Produkt in unterschiedlichen Größen)
- Captcha-Funktionalität hinzugefügt
- Verschiedene Basispreise für unterschiedliche Kundengruppen hinzugefügt
- Automatische Erstellung mehrerer Coupon-Codes nach Preisregel
- System-Backup- und –Rollback-Funktionalität
- Prüfung der Umsatzsteuer-Identifikationsnummer
- Unterstützung für DHL Europa
- Indexer-Refactoring
- Neugestaltetes Mobile-Theme
- XmlConnect Paket Release v22.1
- Upgrade des TinyMCE auf Version 3.4.7
Die Vorstellung der neunen Version finden sie im Magento Blog.
Alle technischen Änderungen wie immer in den Release Notes
Neues Snippet: CSV-Datei in Magento erzeugen
Durch Nutzung der Klasse Varien_File_Csv benutzerdefinierte Daten von Produkten, Verkäufen etc. als CSV exportieren.
Trusted-Shop
Um beim Zeitversatz der Truted-Shop Bewertungsmails die Wochenenden und Feiertage zu berücksichtigen sind nur ein paar Anpassungen nötig. Truted-Shop Bewertungsmails
digitalvertraut.de optimiert für Smartphones und Tables-PCs
Die Nutzung mobiler Geräte wird in Zukunft sicher noch einmal stark an Bedeutung gewinnen. Immer "intelligentere" Handys und Tablet-PCs ermöglichen den Nutzer einen immer komfortableren Zugang zu Online-Angeboten. Diesen technischen Ansprüchen sind wir nun gerecht geworden.
Schauen sie sich unsere Website doch mal mit einen Smartphone oder Tablet-Pc an.
Viel Vergnügen.
Unsere neue Facebook-Chronik
Jetzt ist sie online, unsere neue Facebook-Chronik. Auch für uns ist sie (noch) etwas verwirrend, aber wir sind sicher: das ist reine (Um)Gewöhnung.
Magento OnePage und Google Analytics
Um herauszufinden wie viele Bestellungen durchgeführt wurden braucht man Google Analytics nicht. Dafür genügt ein Blick in das Backend von Magento. Viel interessanter ist die Frage, wie viele Bestellungen nicht abgeschlossen wurden und an welcher Stelle die Besucher den Einkauf abbrechen.
Hierzu definiert man einen Trichter in Google Analytics.
Auf der Seite “Websiteprofile” auf Bearbeiten klicken und dann im Bereich “Ziele” über Ziel hinzufügen einen neuen Trichter anlegen. Also eine Startseite, eine Endseite und alle Seiten die dazwischen liegen. Die Startseite für den Checkout ist /checkout/onepage und die Zielseite ist /checkout/onepage/success/. Diese beiden Adressen im Trichter definiert ergeben schon mal zwei Zahlen. Wie viele haben den Checkout gestartet und wie viele sind am Ende übrig geblieben.
Was jetzt noch fehlt, sind die Seiten dazwischen. Man kann die Zwischenseiten wie Versandart, Zahlungsart usw. jedoch nicht so einfach messen. Magento arbeitet hier mit Ajax und somit gehen die Aufrufe an Google Analytics vorbei. Eine einfache Anpassung der "opcheckout.js" hilft hier jedoch weiter.
gotoSection: function(section) { // neue Zeilen try { pageTracker._trackPageview('/checkout/onepage/' + section + '/'); } catch(err) { // hier kann ggf. ein Errorhandling eingebaut werden. } // ab hier das Origianl section = $('opc-'+section); section.addClassName('allow'); this.accordion.openSection(section); },
Für aktuelle asynchrone Version muss es natürlich dann so aussehen:
gotoSection: function(section) { // neue Zeilen try { _gaq.push(['_trackPageview', '/checkout/onepage/' + sectionName + '/']); } catch(err) { // hier kann ggf. ein Errorhandling eingebaut werden. } // ab hier das Origianl section = $('opc-'+section); section.addClassName('allow'); this.accordion.openSection(section); },
Vorraussetzung ist natürlich, dass Google Analytics im Magento Shop bereits integriert ist.
Frohes neues Jahr wünscht das digitalvertraut-Team!
httpv://www.youtube.com/watch?v=R1KwDAmijZ0