TÜV- und Trusted-Shops-Siegel sind sicherheitstechnisch für die Füße
Abgelegt unter IT, Sicherheit am 18.03.2009Naja, war ja auch irgendwie nichts anderes zu erwarten, oder?
Wie heise heute dazu schreibt, beschränkt sich das aber nur auf Cross Site Scripting.
Für mich nicht.
So ein TÜV-Siegel macht für mich seit damals keinen Sinn, als ich gesehen habe, welche Anforderungen der TÜV an einen Datenschutzbeauftragten stellt.
(fragt lieber nicht, da könnte es einen gruseln…)
Aber auch die Aufnahmebedingungen für ein Trustet-Shops Siegel sind in meinen Augen eher als „lachhaft“ zu bezeichnen.
Warum zum Beispiel muß lediglich der Bezahlvorgang SSL-verschlüsselt erfolgen?
Warum sollte nicht schon der Login-Vorgang mit einem shop-eigenen SSL-Zertifikat geschützt werden?
Weil es Geld kostet?
Wow, wenn man als Shop-Betreiber keine 50 Euro für ein eigenes 1-Jahres-Zertifikat aufbringen kann, sollte man meiner Meinung nach sowieso sein Geschäftsmodell überdenken.
Wenn es daran scheitert, daß der Hoster kein SSL-Zertifikat einbinden kann (ist ja auch nicht ganz soooo einfach), dann sollte man den auch wechseln…
Cross Site Scripting ist die eine Problematik.
Die Sicherheit des Shop-Systems selbst (also die Anfälligkeit des Programmes) sollte in meinen Augen aber auch eine nicht unterbewertete Rolle spielen.
Ich will dies am Beispiel osCommerce/xt:commerce und dem neuen Produkt (Veyton) von der gleichen Softwareschmiede erläutern.
osCommerce/xt:commerce = quelltext-offen, hat aktuell auch eine XSS-Lücke. Diese kann man aber in 5 Minuten selbst stopfen.
Veyton = Quelltext ist verschlüsselt. Im Falle einer Sicherheitslücke ist nicht nachzuvollziehen, wie lange gebraucht wird, bis man diese stopfen könnte, da man ja keinen Einfluß darauf hat.
Daher bin ich der Meinung, man sollte Produkten dieser Art (also verschlüsselt in irgendeiner Art) vorerst ein Gütesiegel verweigern, bis diese den Quelltext durch eine unabhängige dritte Partei auf die gröbsten Fehler hin überprüfen haben lassen
(ich betone, unabhängig).
Das nächste Problem für Shop-Zertifikate:
Verbraucherschutz kann keiner garantieren, wie denn auch.
Oder gäbe es da doch einen Ansatz? *g*
Ebenfalls lustig habe ich es gefunden, welche Grundsätze bei Trusted Shops für deren Zertifikat gefordert werden, speziell zum Thema Impressum und Pflichtangaben…
Da ich ja selbst ein paar Shops betreue, war ich letztens schon sehr irritiert, als ich für einen Shop, der noch im Entstehen war, schon die Zusage für das Trusted Shops-Siegel gelesen habe.
Das Impressum war stark abmahngefährdet, und die Versand-Informationen alles andere als kunden-freundlich.
Fassen wir also zusammen:
bisherige Siegel/Zertifikate/whatever sind für Kunden leider kein Anhaltspunkt für Qualität, Sicherheit und Zuverlässigkeit dieses Shops.
Diese „Bildchen“ für den eigenen Shop kosten aber richtig Asche.
*pling* neue Abzock- Geschäfts-Idee.
Nee, Späßle, sowas würde ich mir nie ans Bein binden, viel zu unseriös…
Für mich (und meine Kunden) reicht es, wenn die verwendete Software quelltext-offen ist (das kann man ruhig wo im Footer sehen), der Shop standard-mäßig mit (gültigem) SSL-Zertifikat läuft, und nicht irgendwelche PHP-Errors zu sehen sind.