Benutzer-Werkzeuge

Webseiten-Werkzeuge


webedition:administration:security

Seit Version 6.3.5 existiert in den Einstellungen von webEdition ein eigener Reiter zum Thema Sicherheit.

Kundenverwaltung

Kundenlogin

Auf dieser Seite können Sie steuern, wie sich webEdition verhalten soll, wenn ein Kunde sich mehrfach am System falsch anmeldet. Sie können dabei einerseits beeinflussen, wie schnell webEdition auf ein fehlerhaftes Login reagieren soll bzw. ab wievielen Fehlversuchen mit dem gleichen Benutzernamen in welcher Zeitspanne das Login gesperrt wird. Außerdem können Sie die Anzahl der Fehlversuche pro IP limitieren. Bitte passen Sie die Werte entsprechend Ihrer Zielgruppe sinnvoll an. Kommen viele Zugriffe aus einem Subnetz (Proxy) da es sich um ein Firmenportal handelt, empfiehlt es sich die Anzahl der Fehlzugriffe einer IP zu erhöhen.

Kundenlogout

Soll die Sitzung des Kunden beim Logout zerstört werden? Dies sollte der erwünschte Effekt sein. D.h. loggt sich ein Kunde vom System aus, wird die Sitzung gelöscht und der Server behält keine Daten des Benutzers (außer den Daten in der Datenbank) zurück. Ein evtl. vorhandener Warenkorb im Shop verliert so seinen Inhalt, wenn er nicht anderweitig gespeichert wurde. In seltenen Fällen kann es sinnvoll sein, die Daten auch über das Logout hinweg zu sichern.

Verschlüsselung

Seit Version 6.3.9 ist es in webEdition ebenfalls möglich (und angeraten) die Kundenpasswörter zu verschlüsseln (bzw. zu Hashen).

Haben Sie bereits Kundendaten im System und möchten ab sofort die Verschlüsselung für die bestehenden Kunden aktivieren, ist dies mit einer einfachen Vorlage möglich Konvertieren von Kundenpasswörter.

Kundenpasswort in der Sitzung speichern

Generell sollte es nicht nötig sein, daß Kundenpasswort überhaupt in der Sitzung zu speichern. Im Einzelfall kann es aber trotzdem sinnvoll sein das Passwort des Logins zu kennen um den Kunden auf einer Unterseite anzumelden die wo die gleichen Kudendaten zum Einsatz kommen. Beachten Sie jedoch, daß sie besondere Sicherheitsmaßnahmen ergreifen sollten, wenn das Passwort in der Sitzung gespeichert wird:

  • Durch fehlerhafte Implementierungen (Vorlagen) auf dem Server kann das Passwort des aktuellen Kunden evtl. ausgelesen werden
  • Sofern die Sitzungsdatei nicht verschlüsselt wird, liegt das Kundenpasswort im Klartext in dieser Datei vor und kann vom Serveradmin ausgelesen werden (bei Shared Hosting mit zentralem Sitzungsspeicher evtl. auch von Fremden Seiten), Sie sollten erwägen die WE-Sitzungsverwaltung zu aktivieren.

Kundenpasswort Passwortrichtlinie

In dem Tag <we:saveRegisteredUser/> ist es möglich eine Richtline für Passwörter anzugeben.

Benutzerverwaltung

Seit webEdition 7.0 ist es in den Einstellungen von webEdition möglich (Reiter Sicherheit) eine Passwortrichtlinie für Benutzerpasswörter einzustellen. Hier wird ein regulärer Ausdruck eingetragen dem das Passwort genügen muß. Beim Anlegen eines Benutzers wird auf ein ungenügendes Passwort hingewiesen, ein Speichern ist möglich. Bei der Anmeldung erhält der Benutzer dann aber den Hinweis das er sein Passwort ändern muß. Beispiele für reguläre Ausdrücke sind:

  • Sicheres Passwort: ((?=.*\d)(?=.*[a-z])(?=.*[A-Z])(?=.*[@#$%]).{6,20}) (min. 1 Zahl, 1 Groß-, 1 Kleinbuchstabe und 1 Sonderzeichen aus @#$%, Länge zwischen 6 und 20 Zeichen Ref)
  • Nur Mindest- / Maximallänge: (.{6,20})
  • Nur Zahlen und Buchstaben bei Mindestlänge: ((?=.*\d)(?=.*[a-zA-Z]).{6,})
webedition/administration/security.txt · Zuletzt geändert: 2016/03/31 17:40 von Marc Krämer

Recent changes RSS feed