OpenCart-Hellas 

Η Ελληνική κοινότητα υποστήριξης του Opencart

Θέματα που αφορούν τη γενικότερη λειτουργία του Opencart.
#7938
ζητηθηκε απο το scroutz να οριστουν τα cookies: OCSESSID, language και currency ως secure και το πεδίο samesite να λάβει την τιμή NONE
Ερωτηση
Γινεται με αυτο τον τροπο το ηλεκτρονικο καταστημα πιο ασφαλες?
Εαν ναι, γιατι δεν ειναι στις προεπιλεγμενες ρυθμισεις του opencart?
#7939
Καλησπέρα,

Για να εφαρμόσεις το αίτημα του Skroutz, μπορείς να ακολουθήσεις τις οδηγίες στην ακόλουθη σελίδα:
viewtopic.php?f=12&t=1492

Όσον αφορά τα ερωτήματα που έθεσες...

Τα session cookies του OpenCart είναι εν γένει ασφαλή, καθώς έχουν default τιμή session.cookie_httponly=On που δεν επιτρέπεται πρόσβαση στο session cookie από scripting γλώσσες όπως Javascript για XSS.

Από το 2020 ο Chrome browser άρχισε να χειρίζεται διαφορετικά την παράμετρο session.cookie_samesite. Όταν δεν δηλώνεται ρητά η παράμετρος session.cookie_samesite=None , ο Chrome δεν επιτρέπει την διατήρηση του session cookie εκτός του καταστήματος (cross-site), για παράδειγμα σε sites πληρωμής τραπεζών με redirection.

Το Skroutz ζητά να γίνουν οι αλλαγές στο session cookie (session.cookie_samesite=None) γιατί χρειάζεται απαραιτήτως το session cookie να μην χάνεται κατά την μετάβαση προς τρίτα sites για να λειτουργήσει το Skroutz Analytics κατά την επιστροφή πίσω στο κατάστημα στην σελίδα success πχ από σελίδα τράπεζας. Άρα δεν είναι θέμα ασφάλειας γιατί αυτή η τιμή δεν είναι η πιο ασφαλής γιατί το cookie λειτουργεί cross-site, αλλά είναι θέμα λειτουργικότητας.

Το OpenCart δεν είχε ρύθμιση ή προεπιλογή στην παράμετρο session.cookie_samesite παλαιότερα, γιατί αυτή η ρύθμιση είναι διαθέσιμη από PHP >= 7.3.x και θα περιόριζε την χρήση του. Πριν από την 7.3.x η παράμετρος οριζόταν μόνο μέσω header.

Η παράμετρος session.cookie_secure σημαίνει ότι επιτρέπεται η πρόσβαση στο cookie μέσω https. Αν ενεργοποιηθεί η παράμετρος session.cookie_samesite=None, είναι προαπαιτούμενο να δηλωθεί και η παράμετρος session.cookie_secure, άρα αυτά πάνε μαζί.

Σε πελάτες μας με παλαιά έκδοση OpenCart που δεν συμφέρει οικονομικά να γίνουν όλες οι τροποποιήσεις για να πάνε σε έκδοση 7.3.x, έχουμε κάνει τροποποίηση το δικό μας analytics να μην χρειάζεται το session.cookie_samesite και να τροφοδοτείται από άλλη πηγή εκτός του session. Άρα θεωρητικά θα μπορούσε κάποιος να μην έχει καν δηλωμένο το session.cookie_samesite ή να έχει session.cookie_samesite με τιμές Lax ή Strict που είναι η πιο αυστηρές και πάλι να λειτουργεί το analytics.

Είναι λίγο τεχνική αυτή η συζήτηση, αν έχεις κάποια απορία μου λες.

Σας ευχαριστώ πολύ για την απάντηση, σκεφτείτε η ε[…]

Έλεγξε αν έχεις πολύ μεγάλα αρχεία εικόνων και αν […]

Κάνε ένα restart τον σερβερ. (βασικα την λειτουργι[…]

Vqmod and SEARCH NOT FOUND

Καλησπέρα, έχω ένα xml που βγάζει αυτό το λάθος […]

Πριν ζητήσετε βοήθεια στο φόρουμ, παρακαλούμε ελέγξτε αν υπάρχει έτοιμη λύση στο OpenCart Extension Marketplace!