Unsere Datenschutzrichtlinie wird in Kürze aktualisiert. Bitte sehen Sie sich die Vorschau an.

Magento Grundkurs (2012)

Cookie- und Session-Konfiguration

Testen Sie unsere 2019 Kurse

10 Tage kostenlos!

Jetzt testen Alle Abonnements anzeigen
Die richtige Cookie-Konfiguration stellt sicher, dass Kunden während des Besuchs auf der Shop-Website nicht versehentlich ausgeloggt werden. Die korrekte Konfiguration der Session-Gültigkeit erhöht die Sicherheit.
06:04

Transkript

Damit Ihre Kunden im Frontend nicht aus Versehen ausgeloggt werden, während Sie sich auf Ihrer Seite befinden, oder zwischen verschiedenen Store-Ansichten hin- und herwechseln, ist eine korrekte Cookie-Konfiguration unerlässlich. Die Cookie-Konfiguration finden wir im Menüpunkt "Systemkonfiguration", im Bereich "Web". Dort finden wir eine Sektion mit dem Namen: "Sitzungscookie Verwaltung" Hier können wir verschiedene Einstellungen vornehmen, die die Gültigkeit des Cookies betreffen. Zum einen haben wir im ersten Eingabefeld, die allgemeine "Cookie-Lebensdauer" in Sekunden. Mit 3600 Sekunden ist die Lebensdauer einer Session hier in Ordnung, wir sollten allerdings die leeren Werte für "Cookie-Pfad" und "Domain" anpassen. Besonders die Anpassung der "Cookie Domain" ist dann wichtig, wenn Sie mehrere Shops unter verschiedenen Subdomains betreiben, der Kunde aber bei einem Wechsel zwischen diesen Domains, nicht ausgeloggt werden soll. In unserem Beispiel hier verwende ich die Subdomain "Magento" in unserer Haupt-Domain "v2b.local". Damit das Cookie auch in meinen anderen Magento-Versionen "demo.v2b.local" oder "install.v2b.local" gültig ist, muss ich den Cookie-Domainnamen korrekt setzten und dies beginnt mit einem Punkt und dann mein Haupt-Domainname: .v2b.local Somit ist sichergestellt, dass das Cookie in allen Subdomains gültig ist. Beachten Sie bitte, dass es auf Grund von Sicherheitsbeschränkungen der Browser, nicht möglich ist, ein Cookie über Domaingrenzen hinweg gültig zu machen. Das bedeutet, ein Shop unter "shop.de" und ein zweiter Shop unter "zweiter-shop.de", können nicht gleichzeitig auf ein und dasselbe Cookie zugreifen. Sollten Sie mit unterschiedlichen Pfaden arbeiten und Ihre Shops unter unterschiedlichen Pfaden betreiben, also "shop.de/shop1" und "shop.de/shop2", dann sollten Sie als Cookie-Pfad auch einen Schrägstrich zusätzlich eintragen. Damit ist sicher gestellt, dass das Cookie auf Domainebene gültig ist, und nicht innerhalb eines Pfadteils festhängt. Auf gut Deutsch: ein Cookie im Pfad "shop.de/shop1" ist auch nur dort gültig und ein Cookie im Pfad "shop.de/shop2" wäre auch nur dort gültig. Mit der Einstellung Cookie-Pfad Schrägstrich sorgen Sie dafür, dass auf das Cookie von beiden Shops, in beiden Pfaden zugegriffen werden kann. Magento überprüft die Session-Gültigkeit auch anhand weiterer Faktoren. Dies finden wir in der Einstellungsrubrik "Einstellungen für Sessiongültigkeit". Je weniger Dropdowns in dieser Sektion mit "Ja" beantwortet werden, umso geringer ist die Sicherheit Ihres Shops. Wozu dienen diese einzelnen Prüfungsmechanismen? Nun, der erste Eintrag prüft die Remote-Address. Die Remote-Address ist die IP-Adresse des Kunden, so wie er Sie er sie von seinem Internet-Provider zugewiesen bekommen hat. In vielen Fällen ändert sich diese IP-Adresse während der Kunde auf Ihrem Shop surft nicht. Daher kann eine Überprüfung der Remote-Address, durchaus für Sicherheit sorgen. Denn ändert sich diese IP-Adresse während eines Aufrufs, ist die Wahrscheinlichkeit sehr hoch, dass die Session des Kunden von einem Angreifer gestohlen wurde und versucht wird, diese Session zu kompromittieren. Mit einer Überprüfung dieser Eigenschaft sichert Magento die Sessiongültigkeit ab. Die weiteren Einträge: "HTTP_VIA" und "HTTP_X_FORWARDED_FOR" sind spezielle Einträge, die bei der Übertragung von Information im Internet gesetzt werden. Unter Umständen kann dies zu ernstzunehmenden Schwierigkeiten bei der Benutzung Ihres Shops führen. Deswegen kann es unter Umständen sinnvoll sein, eine oder beide Varianten dieser Überprüfung auszuschalten. Der letzte Punkt: überprüfe "HTTP_USER_AGENT", prüft, ob sich während der Benutzung das Browsersystem ändert. Das bedeutet, in meinem Fall hier habe ich jetzt einen Firefox Browser, wenn ich die gleiche Seite mit einem anderen Browser öffnen würde, müsste zum einen das Cookie vorhanden sein und wenn dies der Fall ist, und die Überprüfung hier nicht aktiv ist, kann ich in dieser Session weiterarbeiten. Das bedeutet, ich muss mich als Kunde nicht erneut einloggen und ich kann auch mit meinem bestehenden Warenkorb weiterarbeiten. In vielen Fällen ist das jedoch nicht der Fall. Ein Kunde wird selten den Browser, während er in Ihrem Shop einkauft, wechseln und daher kann diese Überprüfung auch auf "Ja" gestellt werden. Ein weiterer Aspekt in der Steigerung der Sicherheit Ihres Shops ist die Verwendung der "SID". "SID" steht in diesem Zusammenhang für die Session-ID, und die Session-ID ist ein ähnlicher Wert, wie das, was wir hier oben in der Adresszeile sehen. Dieser Wert signalisiert Magento, dass sich unter der Adresse, die gerade aufgerufen wird, ein bestimmter Kunde befindet. Was bedeutet das in verständlicher Sprache? Stellen wir uns vor, ich befinde mich im Shop in meiner Warenkorbansicht und es befindet sich diese Session-ID in der Adresszeile meines Browsers. Dann könnte ich jetzt diesen Link kopieren und auf einem sozialen Netzwerk verteilen. Was passiert nun, wenn ein anderer diesen Link anklickt? Nun, er ist eingeloggt und zwar mit meinen Benutzerzugangsdaten, er sieht meinen Warenkorb und er kann meinen Warenkorb zur Kasse führen. Das ist natürlich ein sehr großes Sicherheitsproblem und legt sehr viel Verantwortung in die Hände Ihres Kunden. Um solche Situationen zu vermeiden, empfiehlt es sich die Session-ID im Frontend zu deaktivieren. Bedenken Sie dabei jedoch, dass ein Wechsel zwischen Domains, d.h. "shop1.de" und "shop2.de", dann für den Kunden nicht mehr möglich ist, da Magento die Session, also alle Informationen, die den Kunden betreffen, zwischen den beiden Domains nicht mehr transferieren kann. Denn, wie wir schon gesehen haben, sind auch Cookies nicht über Domaingrenzen hinweg gültig. Die Session-ID wäre also die einzige Möglichkeit, wie ich eine bestehende Information einer aktuellen Kundensitzung von einer Domain auf eine andere Domain übertragen kann. Wenn Sie Ihren Shop also besonders sicher konfigurieren möchten, dann vermeiden Sie die Verwendung der "SID" im Frontend und wechseln hier den Konfigurationswert auf "Nein". Speichern Sie dann die Konfiguration über die Aktionsschaltfläche. In diesem Trainingsabschnitt haben wir nun die Sicherheit unseres Shops, durch eine korrekte Cookie-Konfiguration und eine angepasste Session-Gültigkeitsprüfung verbessert.

Magento Grundkurs (2012)

Lernen Sie als Einsteiger in die E-Commerce-Plattform Magento die Grundlagen kennen und lassen Sie sich als versierter Anwender neue Möglichkeiten und wichtige Tricks erklären.

10 Std. 14 min (135 Videos)
Derzeit sind keine Feedbacks vorhanden...
 

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!