Posting in the Magento forums has been disabled pending the implementation of a new and improved forum solution which should better serve the community.

For new questions please post at magento.stackexchange.com, the community-run support site for the Magento community. We will be providing updates on the new forum solution soon. For questions or concerns please email community@magento.com.

Magento Forum

Falha de Segunça ou de servidor? 
 
Awa_Solucoes
Sr. Member
 
Avatar
Total Posts:  215
Joined:  2009-04-18
Londrina, PR - Brazil
 

Eu tenho um cliente q vem me reportando c/ certa frequencia q ele está c/ algumas falhas de segurança. Alguns(isso mesmo alguns) cliente mandaram email para ele notificando q outros clientes tiveram acesso as suas contas, acesso total, eles podiam fazer comprar, alterar endereço de entrega e etc.  Como isso é possivel, não sei. Os passos para que ocorram o erro são estes.
Foi criado um form com o email e alguns campos para que o meu cliente pudesse recolher dados para envio de newsletter por outra empresa. Esse form é bem simples, não tem a capacidade de pegar algum dado de validação ou cookie. Assim esses dados são enviados para essa empresa, onde o cliente tem um contrato para envio de email em grande quantidade. O que ocorre é q alguns clientes ao receberem este email e clicarem em alguma imagem, são redirecionados ao site do cliente, mas ele são redirecionados logados automaticamente como um cliente(qualquer cliente, é aleatorio) , assim esses clientes podem mudar dados, e isso é uma falha de segurança grave. Não fiz alteração nenhuma no CORE, pois não sou destes programadores que fazer hacks. As outras alterações do site foram basicamente feitas com CSS e XML, do tipo mudança de cores e posicionamento de blocos.  E isso ja vem ocorrendo a certo tempo, ate pensei que fosse uma falha de segurança da versão, mais ja atualizei tres vezes(cada vez que lançava nova atualização eu atualizava). Então não sei o que é!! Ja olhei e revi o form de newsletter, ja verifiquei linha por linha do newsletter que chega ao cliente por email, e não encontrei nada que possa fazer essa falha acontecer, alguem tem ideia?? Eu sinceramente acho que seja o servidor, pois na minha cidade a operadora de internet deu pau em seu servidor uma vez, e clientes logavam no orkut como sendo outros usuarios, as vezes só de irem para o orkut ja entravam direto como outra pessoa. Apesar de meu cliente ser de outra cidade e ter outro servidor(bem conhecido) acho que acontece com ele a mesma coisa que aconteceu em minha cidade.

 
Magento Community Magento Community
Magento Community
Magento Community
 
Carlos Teixeira
Sr. Member
 
Total Posts:  95
Joined:  2009-01-26
Brasil
 

Realmente é muito estralho nunca tive esse problema.

Você tem um link de exemplo de quando é clicado vai para o site..... ?

Também pode ser que alguem esta “snifando” as conexões do servidor é capturando os dados dos clientes esses é um dos motivos que se deve usar HTTPS em comercio eletrônico.

 
Magento Community Magento Community
Magento Community
Magento Community
 
Awa_Solucoes
Sr. Member
 
Avatar
Total Posts:  215
Joined:  2009-04-18
Londrina, PR - Brazil
 

Pois é Carlos, mas não acho que alguem esteja sniffando o servidor, pois são varios clientes que tem acesso a contas outros clientes, eles simplesmente quando clicam no link do Newsletter que recebem no email (que é neste formato: http://www.meudominio.com.br/loja/index.php ou sem esse “index.php") são direcionados para o site, e simplesmente entram na home como sendo outros clientes, totalmente aleatorio, e referente a certificado, não achei necessario pois usa o Pag seguro. Em tese, o problema não estaria em captura de dados bancarios, pois esses dados são de responsabilidade do pag Seguro, se der problema a culpa é deles, pois esta no ambiente deles, mas no nosso caso, está dentro do magento e é uma questão de outros usuarios saberam dados pessoais, como endereço, telefone e etc. Isso pode ate dar processo!! Eu simplesmente nunca tinha visto isso tambem, e o pior que isso ja vem ocorrendo a certo tempo, desde da versão 1.3.2.1(quando foi instalado) depois fui atualizando de acordo com saida de atualizações de segurança, mais nenhuma dessas resolveu o meu problema!! Se alguem souber algum motivo, por favor de sua opnião, pois esse negocio me deixou louco e intrigado!!

 
Magento Community Magento Community
Magento Community
Magento Community
Magento Community
Magento Community
Back to top