Achtung: ungewolltes ausspionieren Ihres Onlineshops
Für Magento gibt es eine vielzahl kostenfreier Erweiterungen, was dazu führt, dass Shopbesitzer einem “Installationswahn” unterliegen. Allzuoft müssen wir dadurch entstandene Schäden wieder in Ordnung bringen. Was aber noch viel schlimmer ist, dass diverse Hersteller von Extensions, Scripte ausführen, welche Daten von Ihrem Shop ausspionieren.
Ich möchte Ihnen das anhand der Erweiterung Autocomplete Search zeigen. Eigentlich wollte wir nur die Integration von jQuery entfernen um die Extension mit JQuery-Base benutzen zu können. Mir ist dann aufgefallen, dass in der config.xml ein Crontab eingtragen wurde.
... <crontab> <jobs> <autocomplete_callhome> <schedule><cron_expr>0 6 * * *</cron_expr></schedule> <run><model>autocomplete/call::home</model></run> </autocomplete_callhome> </jobs> </crontab> ...
Der erste Gedanke: Es könnte ja sein, dass täglich ein Suchindex aufgebaut wird um die Performance der Suche zu beschleunigen. Allerdings wird man nach einsehen des Funktionaufrufs home eines besseren belehrt.
<?php
/**
* This script 'calls home' every day with information that help us to
* guage the popularity of the module.
*
* The information we collect is listed below:
*
* - Store URL
*/
class TF_Autocomplete_Model_Call {
const ENABLE = true;
public function home() {
if (self::ENABLE) {
$post = new Zend_Http_Client();
$post->setMethod(Zend_Http_Client::POST);
$post->setUri('http://www.tonyfox.co.uk/module_stats/tracker.php');
$post->setParameterPost(array(
'module' => 'TF_Autocomplete',
'module_version' => '1.1.0',
'store_url' => Mage::getStoreConfig('web/secure/base_url')
));
$response = $post->request();
echo 'Response: ' . $response->getStatus() . ' ' . $response->getMessage();
echo $response->getBody();
}
}
}
An die URL http://www.tonyfox.co.uk/module_stats/tracker.php werden die 3 Parameter modul, module_version und store_url einmal täglich gesendet. Ich möchte dem Hersteller nicht unterstellen dass mit den damit gewonnen Daten (Shop-URL) schindluder getrieben wird, aber die Möglichkeit besteht auf alle Fälle. Es ist auch nicht in Ordnung, dass ein Hinweis darauf, nicht der Modulbeschreibung auf www.magentocommerce.de enthalten ist.
Sie müssen für sich selbst entscheiden, ob Sie das tolerieren möchten oder nicht. Indem man den Crontab aus der config.xml entfernt, kann man auf alle Fälle die Code deaktivieren.
Viele Grüße
Johannes Teitge
5 Kommentare to “Achtung: ungewolltes ausspionieren Ihres Onlineshops”
Kategorien
Letzte Artikel
- Neuer Version von Mxperts Products-Import
- Fehlersuche mit Mage::Log()
- Achtung: ungewolltes ausspionieren Ihres Onlineshops
- Backend-Navigation mit eigenem Logo (Image)
- Personalisierter Browsertitel
- Produkte importieren für Magento 1.4.x
- Kostenfreie Broschüre für Magento-Interessierte und Agenturen
- Sprachpaket | Lokalisierung für Magento ab Version 1.4
- Erweiterung: Mxperts Tooltip
- Schneegestöber für Ihren Magento-Shop
Letzte Kommentare
- ds_1984 bei Erweiterung: Mxperts - NoRegion
- mister_tt bei Erweiterung: Mxperts - NoRegion
- ds_1984 bei Erweiterung: Mxperts - NoRegion
- mister_tt bei Erweiterung: Mxperts - NoRegion
- eren bei Bewegtes Bild (Slide,Fade,Zoom)
- JoernBernd bei Neue Version Mxperts Invoice 1.0.8
- Tobi bei Erweiterung: Mxperts Tooltip
- Bali4you bei Personalisierter Browsertitel
- itintouch bei Magento-Shop nur als Katalog: Teil 4 - Zubehör, UpSelling, Produktoptionen & Layered Nav
- cbatik bei Eigene Layouts in Magento CMS integrieren
Admin Controler Animation Anleitung Backend Bestellung Bilder Blätterkatalog Block CMS Deutsch E-Mail Erweiterung Erweiterungen Extension Frontend Ausgabe Import iPhone jQuery jQuery-Tools Kategorieren importieren Kontaktformular Kurs Layered Navigation Magento 1.3 Magento Update Menü Navigation Produkt-Import Produkte rechte Spalte Scrolling seo Service Shipping-Modul Sprachfile Sprachpaket Tutorial Versandkosten Versenden Version 1.3.0 Video Vorlagen Währungen YouTube Zoom
WP Cumulus Flash tag cloud by Roy Tanck requires Flash Player 9 or better.
Ich persönlich finde das ein wenig dreist - klar ist es nett eine Extension kostenfrei bereit zu stellen - aber gewisse Dinge gehören sich einfach nicht.
Ein ähnliches Beispiel ist mir von diesem Modul bekannt was an sich recht gut umgesetzt und auch brauchbar ist:
http://www.magentocommerce.com/magento-connect/ECOPLAN/extension/2217/magento-firefox-toolbar
Man erhält eine Toolbar für den Firefox Browser und kann damit Statistikwerte abrufen ohne das Magento-Backend (Dashboard) aufrufen zu müssen - jedoch ist es standardmäßig so das ein neuer Link im Footer hinzugefügt wird & der Extension Programmierer damit auf seine Webseite verweist.
Ich meine wenn man es auch vorher erwähnt - kein Thema aber so???
Nicht damit gleich zu setzen sind Links die durch Konfigurationsmöglichkeiten im Backend mit installiert werden, gerade bei weiteren Fragen oder Ähnliches macht sowas schon Sinn.
Zudem spionieren ja auch normale Verlinkungen nichts.
LG -Daniel
Der größte Spion ist Google.
Google analytics trackt ja jeden Warenkorb. Da kann google gut sehen, was ganz Deutschland kauft.
Ausserdem kommen die Grafiken im Dashboard auch von Google. Also weiss der alles. Es gibt genügend Grafikengines um die Grafiken öpkal zu erzeugen und darzustellen. Solange die Programmierer zu faul sind, so was einzubinden, isses halt so. Big Brother Google.
Wer auf analytics setzt ist selber Schuld, es gibt genug Alternativen - ein sehr nettes Projekt ist zum Beispiel:
http://www.php-web-statistik.de/
Ist zwar als Neuinstallation nicht mehr 100% kostenfrei, aber eben wenn einmal gekauft alle Folgeupdates - arbeite seit 3 Jahren damit und bin sehr zufrieden.
Das die Grafiken aus dem Dashboard von Google kommen wusste ich nicht - danke für den Hinweis!
LG - Daniel
[...] Plugins haben vollen Zugriff auf die Datenbank und Kunden- und Produktdaten. Wie die Jungs bei mxperts.de festgestellt haben, telefoniert das Plugin Autocomplete Search nach [...]
[...] kann es sein, dass das Modul doch deutlich mehr kann, als man eigentlich erwartet. Die Jungs von mxperts.de zeigen anhand der Magento-Erweiterung “Autocomplete Search”, wie leicht man durch die [...]