Sicherheitseinstellungen

In den Einstellungen von webEdition existiert ein eigener Reiter zum Thema Sicherheit. Hier werden einige zentrale Sicherheitsmerkmale festgelegt.

Kundenverwaltung

 

Kundenlogin



Auf dieser Seite können Sie steuern, wie sich webEdition verhalten soll, wenn ein Kunde sich mehrfach am System falsch anmeldet. Sie können dabei einerseits beeinflussen, wie schnell webEdition auf ein fehlerhaftes Login reagieren soll bzw. ab wievielen Fehlversuchen mit dem gleichen Benutzernamen in welcher Zeitspanne das Login gesperrt wird. Außerdem können Sie die Anzahl der Fehlversuche pro IP limitieren.
Bitte passen Sie die Werte entsprechend Ihrer Zielgruppe sinnvoll an. Kommen viele Zugriffe aus einem Subnetz (Proxy) da es sich um ein Firmenportal handelt, empfiehlt es sich die Anzahl der Fehlzugriffe einer IP zu erhöhen.

Kundenlogout


Soll die Sitzung des Kunden beim Logout zerstört werden? Dies sollte der erwünschte Effekt sein. D.h. loggt sich ein Kunde vom System aus, wird die Sitzung gelöscht und der Server behält keine Daten des Benutzers (außer den Daten in der Datenbank) zurück. Ein evtl. vorhandener Warenkorb im Shop verliert so seinen Inhalt, wenn er nicht anderweitig gespeichert wurde. In seltenen Fällen kann es sinnvoll sein, die Daten auch über das Logout hinweg zu sichern.

Verschlüsselung

Alle Kunden und auch Benutzerpasswörter sind in der Datenbank gehasht, d.h. die Passwörter können nicht einfach aus der Datenbank ausgelesen und entschlüsselt werden.

Kundenpasswort in der Sitzung speichern


Generell sollte es nicht nötig sein, daß Kundenpasswort überhaupt in der Sitzung zu speichern. Im Einzelfall kann es aber trotzdem sinnvoll sein das Passwort des Logins zu kennen um den Kunden auf einer Unterseite anzumelden die wo die gleichen Kudendaten zum Einsatz kommen.
Beachten Sie jedoch, daß sie besondere Sicherheitsmaßnahmen ergreifen sollten, wenn das Passwort in der Sitzung gespeichert wird:

  • Durch fehlerhafte Implementierungen (Vorlagen) auf dem Server kann das Passwort des aktuellen Kunden evtl. ausgelesen werden
  • Sofern die Sitzungsdatei nicht verschlüsselt wird, liegt das Kundenpasswort im Klartext in dieser Datei vor und kann vom Serveradmin ausgelesen werden (bei Shared Hosting mit zentralem Sitzungsspeicher evtl. auch von Fremden Seiten), Sie sollten erwägen die [[webedition:administration:system:sessions|WE-Sitzungsverwaltung]] zu aktivieren.

Kundenpasswort Passwortrichtlinie


In dem Tag <we:saveRegisteredUser/> ist es möglich eine Richtline für Passwörter anzugeben.


Benutzerverwaltung


Iin den Einstellungen von webEdition ist es möglich eine Passwortrichtlinie für Benutzerpasswörter einzustellen. Hier wird ein regulärer Ausdruck eingetragen dem das Passwort genügen muß. Beim Anlegen eines Benutzers wird auf ein ungenügendes Passwort hingewiesen, ein Speichern ist möglich. Bei der Anmeldung erhält der Benutzer dann aber den Hinweis das er sein Passwort ändern muß. Beispiele für reguläre Ausdrücke sind:

  • Sicheres Passwort: ((?=.*\d)(?=.*[a-z])(?=.*[A-Z])(?=.*[@#$%]).{6,20}) (min. 1 Zahl, 1 Groß-, 1 Kleinbuchstabe und 1 Sonderzeichen aus @#$%, Länge zwischen 6 und 20 Zeichen Ref)
  • Nur Mindest- / Maximallänge: (.{6,20})
  • Nur Zahlen und Buchstaben bei Mindestlänge: ((?=.*\d)(?=.*[a-zA-Z]).{6,})
powered by webEdition CMS