Kunde hat Adminrechte

[sjannasch]

Bei einem Shop den ich betreue hat ein Kunde (nur einer) nach seiner Registrierung plötzlich Zugang zum Adminbereich. In diesem Falle ist es ein Bekannter und ich habe es erfahren. Im ungünstigen Falle kann ein völlig fremder Kunde alle Daten und Bestellungen sehen.

Ich habe festgestellt, das bei allen Kunden im Adminbereich/Kunden auf der rechten Seite der Button "Adminrechte" vorhanden ist. Ich war der Meinung, dass das nur so seien sollte, wenn er der Admingruppe zugewiesen ist.

Wer kann helfen?

Sven-Eric Jannasch

[tutsn]

Shopversion älter als 304SP21, richtig? Zur Beruhigung: die Kunden mögen vielleicht den Adminbutton sehen und die Anzahl der Produkte und Bestellungen, in den Adminbereich kommen sie aber wahrscheinlich dennoch nicht, da hierfür die Kundengruppenzugehörigkeit allein nicht aureicht. Einfach mal ausprobieren. Und dann am besten auf eine aktuelle Version updaten.

[sjannasch]

Leider nein :-(
Die Shopversion ist 304SP21 und der Kunde kann mir alle Bestellungen von allen Kunden vorlesen.

Also richtiger Mist wenn ich nicht rausbekomme, woran es liegt und ob es noch andere Kunden gibt, die diese Rechte haben.

Sven-Eric Jannasch

Ist eigentlich immer ein Sessionproblem. Immer "session erneuern" auf true. Und in der DB erstmal die Tabelle session leeren (nicht löschen). Im Admin durchsehen ob noch andere Admin-Status haben, unter Kunden -> Kundengruppe Admin. Dann in der DB diese Kunden händisch im Status ändern.

My2Cent
Tuvalu

[sjannasch]

Vielen Dank für die schnelle Antwort, werde ich nachher ausprobieren. Allerdings ist der Kunde nicht in der Gruppe Admin, sondern "Neuer Kunde", das ist es ja was mich so stutzig macht.

Sven-Eric Jannasch

[Adventuretoys]

Wir haben hier das selbe Problem. Ich habe soweit alles umgesetzt, aber dem Kunden ist es immer noch möglich auf den Admin bereich zuzugreifen

Heute kam es auch vor das eine Kundin sich neu im shop registriert hat und ihre Bestellung aufgeben hat, welche dann aber bei Kunde A (der mit adminrechten) landete! Sozusagen hat Kunde A die Rechnung von einem ganze anderen Kunden bekommen.

So langsam entwickelt sich das wirklich zum Problem. Weil es nun nicht mehr nur bei einem Kunden vorkommt.
Und das ganze muss ja einen Grund haben!

Wie sehen erstens bei Euch die Sessioneinstellungen aus, und zweitens welche Shopversion.

tuvalu

[Adventuretoys]

Also:

Session Speicherort: /tmp

Cookie Benutzung bevorzugen: False

Checken der SSL Session ID: False

Checken des User Browsers: False

Checken der IP Adresse: False

Überprüfen der IP Adresse des Users bei jedem Seitenaufruf: False

Session erneuern: True

Shopversion: 3.0.4 SP2.1

[tutsn]

möglicherweise auch Probleme mit dem Sessionhandling des Servers? Stell doch mal in den beiden configure.php das Sessionhandling auf die andere Methode.

Zitat:

Zitat von Adventuretoys

Also:

Session Speicherort: /tmp

Da könnte der Server vielleicht ein Problem mit haben, z.B. nachdem der Hoster php upgedatet hat. Das am besten auf die DB umstellen. Also in:
admin/includes/configure.php in der vorletzte Zeile

Code:

define('STORE_SESSIONS', 'mysql'); // leave empty '' for default handler or set to 'mysql'

eintragen.
Dito in root/includes/configure.php

Zitat:

Cookie Benutzung bevorzugen: False

Checken der SSL Session ID: False

Checken des User Browsers: False

Das letztere könnte man durchaus auf true stellen. Dann ist die Session an den Browser gebunden.

Zitat:

Checken der IP Adresse: False

Überprüfen der IP Adresse des Users bei jedem Seitenaufruf: False

Session erneuern: True

Shopversion: 3.0.4 SP2.1

Und in der DB die Tabelle "Session" mal leeren.

Tuvalu