Schnell, schön, sicher: Technische Konzeption und Betrieb sicherer E-Commerce Systeme
Ein Online-Shop muss eine Vielzahl an Anforderungen erfüllen. Händler wollen möglichst viele Kunden gewinnen und Umsatz generieren. Oft stehen Business-Anforderungen über den sicherheitstechnischen Anforderungen, Security-Updates bleiben dann auf der Strecke oder werden erst sehr verzögert integriert.
Während der technischen Entwicklung eines E-Commerce Systems gibt es eine Vielzahl an Maßnahmen und Aktionen die dazu dienen, die gesamte Sicherheit eines E-Commerce Systeme zu verbessern. Dazu gehört ein sicherer Software-Entwicklungszyklus der unter anderem ein Security Code-Review von eigenen und externen Modulen, ein sicheres Konfigurationsmanagement und die Durchführung von Security-Testing und Security-Scannern umfasst.
Anna Völkl von der Agentur E-CONOMIX zeigte, wie man als Agentur nicht nur ein funktionierendes und performantes, sondern auch ein aktuelles und sicheres Shop-System bereitstellen kann.
2. Software Entwicklung seit 20 Jahren
E-Commerce mit Magento seit 10 Jahren
Ferdinand Porsche Fern-FH: E-Commerce Systeme, Software
Reengineering
Anna Völkl / @rescueAnn
9. Planung
Infrastruktur & Zugriffe klären
(Systeme, User,...)
Ablauf für Security Patches, Major- und
Minor-Versionen in der Angebotsphase
besprechen
Den Händler für Security sensibilisieren
- Vorbild sein!
Passwort-Sharing: One-Time Secret
10. Quelle: The State of PHP in 2017 (Zend)
https://www.zend.com/resources/state-php-2017
Verantwortung
16. Modul-Hersteller fordern SSH + Webshop Admin Zugriff auf den
Live-Webshop an
Oft keine isolierten Test-Umgebungen, um Fehler zu reproduzieren
Live-Zugangsdaten via E-Mail/Plaintext
Third Party