Ssl / Schlo? / Fehlermeldung

[ronne]

Bei mir und bei anderen erschien zun?chst das Schlo? bei Wechsel auf SSL nicht. Dann gebastelt und Schlo? erschein aber mit unsch?ner Meldung, dass nun auf eine "unsichere Seite" gewechselt wird.

Meine L?sung:
1. in Login.php folgenden Eintrag verbessern.

// restore cart contents
$_SESSION['cart']->restore_contents();

if (sizeof($_SESSION['navigation']->snapshot) > 0) {
$origin_href = xtc_href_link($_SESSION['navigation']->snapshot['page'], xtc_array_to_string($_SESSION['navigation']->snapshot['get'], array(xtc_session_name())),'SSL');
$_SESSION['navigation']->clear_snapshot();
xtc_redirect(xtc_href_link(FILENAME_ACCOUNT,'','SS L'));
} else {
xtc_redirect(xtc_href_link(FILENAME_DEFAULT,'','SS L'));
}
}
}
}

2. in application_top.php

// set the type of request (secure or not)
$request_type = ($_SERVER["SERVER_NAME"] == 'deine-domain.de') ? 'SSL' : 'NONSSL';

Bei mir l?ufts nun. Varianten im Forum bereits gepostet

Gr??e

Marcus

[Roedig]

Ich habe deine L?sung umgesetzt aber leider ist im IE kein Schloss zu sehen und bei jedem Wechsel auf eine andere Seite erhalte ich die Meldung:

"Diese Seite enth?lt sowohl sichere als auch nicht sichere Objekte. Mchten Sie die nicht sicheren Objekte anzeigen? Ja - Nein - Details"

Das nervt ungemein - und schein mir auch nicht professionell gel?st zu sein - denn im FireFox-Browser is das alles Bestens - Schloss und SSL-Navigation funzen - aber leider haben weit ?ber 90 % der User IE in der Anwendung.

Ich weiss ich soll hier im Forum suchen - L?sung ist schon drin :-) aber nun suche ich schon 3 stunden :-(( Bitte Hilfe.

Danke

[ronne]

Hallo,

bei mir erscheint diese Meldung nur, wenn ich in Admin-Bereich wechsel. Sonst l?uft es. Aktuelle IE Version?

Gr??e

Hallo,
ich habe auch seit l?ngerem das Problem und finde keine L?sung.
Ich habe mal auf den Seiten der xt-commerce Admins nachgeschaut, ob die das Problem gel?st haben.
Dort erscheint auch kein Schlo?, kein https, kein ssl.
Ich kenne von allen gro?en vertrauensw?rdigen Sites, dass Sicherheitsstandarts eingehalten werden..
Das tut es aber bei oben genannten nicht. Oder ich habe es ?bersehen.
Kann es m?glicherweise sein, dass die Entwickler selber dieses Sicherheitsproblem nicht im Griff haben? Oder kein Wert auf Sicherheitsstandarts legen?
Oder gibt es noch andere Sicherheitsl?sungen?? Jedenfalls w?re ich sehr froh, wenn wir alle gemeinsam eine L?sung finden w?rden.
Die Vertrauensw?rdigkeit jedes einzelnen shops steht und f?llt in Zeiten von Pishing Diskussionen und Verunsicherung der Kunden mit einer einwandfrei funktionierenden software.
Gru?
Abacho

Zusatzfrage:
gibt es dieses Problem in der neuen Version auch noch oder w?rde ich mir durch den Kauf der neuen Version viel, viel Zeit ersparen?

[xt:mzanier]

SSL funktioniert auf XTC ohne probleme.

Zitat:

Ich habe mal auf den Seiten der xt-commerce Admins nachgeschaut, ob die das Problem gel?st haben.

nicht jeder will ein SSL zertifikat, dort wo es installiert ist, dort funktioniert es auch.

das obige problem ist abh?ngig vom provider, und welche $_SERVER variable zur erkennung der SSL verbindung in der application top verwendet wird.

Zitat:

Oder kein Wert auf Sicherheitsstandarts legen?

nach deinem posting zu urteilen hat dies nichts mit sicherheitsstandart zu tun, snodern allein mit der tatsache ob jemand ein SSL zertifikat kauf oder nicht, xtc unterst?tzt dies, jedoch kaufen wir keine SSL zertifikate f?r die user, deshalb ist der vorwurf wohl etwas unangepasst.

Hallo Mario,

ich bin bei domainfactory - die haben ein Zertifikat. Ich habe auch nicht den Vorwurf gemacht, dass ihr den Usern keine Zertifikate kauft.
?berdenkenswert finde ich aber, das offensichtlich nicht einmal der Zeit Shop eine SSL hat.
Oder t?usche ich mich?
Jedenfall geht es mir nicht darum Vorw?rfe - Anw?rfe zu machen, sondern auf ein grunds?tzliches Sicherheitsproblem hinzuweisen.
Wenn dabei auch noch f?r alle user, die wie ich dieses "server variable in der applikation top" Problem haben, eine gute L?sung herumkommt, ist allen geholfen.

Aber:
es sind zwei miteinander verwobene unterschiedliche Themen!!
Gru?
Abacho

Nachtrag:

ich dachte auch mehr an die eigenen Shops der Admins, z.B. der:

http://www.hhgag.com/

Wenn ihr shops f?r andere einrichtet und die Zeitschrift "Die Zeit" sich offensichtlich weigert, ssl zu nutzen, k?nnt ihr nat?rlich nichts machen.
Das ist klar!

[xt:mzanier]

was hat ein shop eines moderators damit zu tun ?

SSL ist kein sicherheitsstandart, SSL f?hrt zu keinen nennenswerten zuwachsen in der kundengewinnung/bestellung (vergleichswerte existieren),
SSL wird von den meisten shopbetreibern nur verwendet da es zb clearing unternehmen oder zertifizierungsunternehmen vorschreiben.

auf das nichtvorhandensein von SSL zertifikaten in shops r?ckzuschlie?en das die entwickler dies nicht beheben k?nnen finde ich schon etwas stichelei, aber das kennt man ja schon von dir.

?ber eine l?sung f?r domainfactory kann gerne im sponsorenbereich besprochen werden, ist nur ne kleine anpassung.

Der Shop ist f?r eigene SSL-Zertifikate ausgerichtet und nicht f?r SSL-Proxies.
Da ein Shop eigentlich professionell genutzt werden sollte, sollte auch das Budget f?r ein eigenes SSL-Zertifikat gegeben sein, wenn es notwendig ist.
Ein SSL-Proxy sieht erstens unprofesionell, zweitens um Geiz ist Geil Kunden auch g?nstige Angebote machen zu k?nnen, da ein SSL-Zugang zus?tzlich zum Zertifikat auch eine eigene IP-Adresse ben?tigt was auch wieder Geld kostet, die Kunden mit dieser Moral nicht bezahlen m?chten.

Zu meinem Shop:
Da ich keine Kreditkartentransaktionen halte ist ein SSL-Zertifikat nicht unbedingt als notwendig, aber Budget w?re gegeben