Datenschutz,klartext,shop,website x5 professional 2019.2.5
Autor: Frank W.
Visited 3199,
Followers 1,
Udostępniony 0
Hallo Incomedia,
ich beschäftige mich derzeit intensiv mit einem Projekt, in dem unterschiedlichen Benutzern unterschiedliche Inhalte gezeigt werden sollen. Dabei sind mir einige nicht DSGVO-konforme Vorgehensweisen aufgefallen, die auch von anderen Usern schon beschrieben wurden. Die letzten Informationen seitens Incomedia, dich ich gefunden habe, liegen bereits mehr als ein halbes Jahr zurück. Gibt es hierzu keinen neuen Stand? Seltsamerweise kann ich den Threads zu dem Themenkreis keine Kommentare mehr anhängen, warum ist das so?
Wie steht Incomedia zur Umsetzung der DSGVO? Werden meine User-Daten dort ebenfalls so "lässig" gespeichert?
Viele Grüße
Frank
Posted on the
ich kann leider nur rätselraten. um was geht es den genau?
Hallo Frank,
Schau mal hier:
https://www.websitex5.com/de/ressourcen/blog/?dsgvo-was-ist-zu-tun
Autor
Es geht um die Speicherung von Benutzer-Passwörtern im Klartext und darum, dass es für User keine Möglichkeit gibt, diese selbständig zu ändern. Das wurde vergangenes Jahr mehrfach thematisiert, scheint aber zur Zeit nicht mehr im Fokus zu sein.
Richtig!
Die Problematik besteht weiterhin.
Autor
Ja, deswegen ist meine Datenschutzerklärung ja auch kilometerlang..., aber ob es reicht, wenn ich da reinschreibe, dass die Anmeldedaten im Klartext sind?
Ne, Spaß beiseite, ich denke, dass das ein Thema ist, das viele betrifft, die private Bereiche in ihren WebSites einbauen. Aber vielleicht kann ja jemand ein externes Benutzer-Verwaltungstool empfehlen, dass ich dann adaptieren kann.
Vielen Dank für Eure Beschäftigung mit dem Thread und schönes Wochenende
Incomedia sollte eigentlich ganz genau wissen, dass Passwörter zu verschlüsseln sind.
Ich meine, wenn die Software schon keine Passwörter verschlüsselt, dann sind die Passwörter in der Datenbank des X5-Forums vermutlich auch nicht gesichert.
Beste Beispiel ist Knuddels. :-) Ähmm, wieviele User hat Incomedia noch einmal Forum? :-)
Nur "leider" ist noch nichts ernsthaftes passiert, wo geklagt wurde, denn meines Wissen nach wäre Incomedia als "Software Entwicker" mit haftbar, alleine schon deshalb, weil X5 als DS-Konform verkauft wird.
Ich bin kein Anwalt und das ist auch meine persönliche Meinung. :-)
Also lieber mit Vorsicht an die Sache ran gehen.
Gefählich wird es, wenn die Seiten gewerblich genutzt werden, dann würde ich deartige Datenverarbeitung verzichten.
Oder einfach einen Anwalt fragen. Vielleicht sagt der ja auch, alles gut, weitermachen.. :-)
Ok, Jungs jetzt weiß ich was gemeint. Ich vermute das INCO sicher alles auf dem Sender hat bezüglich DSGVO. Sont dürfte die Software für den Business Bereich nicht verkauft werden.
Sonst wird sich da sicher etwas ändern in nächster Zeit weil die ja schon gut 1 Jahr in Kraft getreten ist.
1 Jahr ist zeiten des Internets eine Ewigkeit. :-)
@Andreas L.: Es geht dem TE (und auch mir) um die Nutzerverwaltung von WebSite X5. Da werden bei automatischer Registrierung die Passworte im Klartext in die Datenbank geschrieben. Nutzt man nicht die automatische Registrierung stehen die Daten wiederum in Klartext in der Datei res/access.inc.php.
Ist ja noch schlimmer!
Wenn das Verzeichnis nicht via .htaccess geschützt ist und dies bekannst ist, hat jeder Zugriff drauf.
Autor
In die res/access.inc.php werden die Daten aus der Datenbak auch übernommen, wenn die automatische Registrierung vom User bestätigt wird. Aus der Datenbank wird der betreffende Datensatz dann gelöscht.
@André G.: Wenn ich das Verzeichnis mit .htaccess schütze, kommt X5 dann noch an die Daten?
Serverintern sollte es keine Probleme geben. Ist auch nicht ganz so mein Fachgebiet.
Dazu könnten die Entwickler nähere Informationen geben.
Ist ja genauso mit den digitalen gütern, wer das Verzeichnis kennt, kann es scannen und die Inhalte downloaden. für nicht einen Cent. :-)
https://www.juraforum.de/forum/t/gesetze-zur-passwortverschluesselung.461322/
Ich gebe zu, dass meine Beispiele vielleicht etwas krass sind, aber nicht 100% auszuschließen. :-)
Autor
Hast Du mal geguckt, von wann der Artikel ist? Zitat: "Passwörter im Klartext sind seit Jahren nicht mehr Stand der Technik."
Eigentlich möchte ich mir bei so einem substantiellen Thema keine Gedanken über Work-Arrounds machen...
Ja, 2013! Und? :-)
Wo stehen wir jetzt? :-)
Da war damals schon ein Thema und der Datenschutz noch nicht so scharf wie heute.
Ist aber auch ein riesen Thema und vor allem ein riesen MIST diese DS-GVO.
Ich bin mir nur nicht sicher ob INCO dafür sorgen muss wenn ihr Namen usw. speichert oder eben ihr als Anbieter der Webseite?
X5 ist eine Software die hilft Webseiten zu bauen und keine Rechtsberatung.
Und das Thema Datenbanken ist scho ein alter Hut hier..ich glaube der André ist da schon vor einem Jahr darauf gestoßen.
Seitens INCO ist da nie was passiert weil ich glaube das die das nicht Anbieten müssen.
Nicht um sonst muss ein Webseitenbetreiber einen Datenschutzbeauftragten einsetzen. Und das seit IHR in diesem Fall, deshalb denke ich das ihr was machen müsst.
Wenn INCO in ihrer Software eine Funktion zur Nutzerverwaltung anbietet, muß INCO auch dafür sorgen das die Daten DSGVO mäßig gespeichert werde. Wie soll der Nutzer da eingreifen Andreas L. und dafür sorgen das die Daten verschlüsselt werden?
Nun ja, es ist so, dass die Software von Incomedia in der Lage ist, Daten in einer Datenbank zu verarbeiten.
Wie die Daten verarbeitet werden, da hat weder der Webmaster noch der Datenschutzbeauftragte Einfluss drauf.
Daher sehe ich rein aus logischem Verstannd herraus, dass Inco dafür Sorge tragen sollte, ein rechlich sicheres Produkt zu verkaufen. Dazu gehört an erster Stelle sichere Datenverarbeitung!
So sehe ich das.
Aber Andreas L., das Thema hatten wir schon öfter, endete teilweise auch in Streiterein. :-)
Mann könnte diese Software auch Missbrauchen um an personenbezogene Informationen zu gelangen. :-/
Aber Hey, desto mehr Leute darüber disktuieren, desto mehr fällt es auf oder?
Mann will ja nichts böses, sonder das beste! Also ich zumindest! :-)
Autor
Mein Wunsch ist eigentlich nur, das Vertrauen, das meine User mir entgegenbringen nicht zu enttäuschen. Ich halte es für sehr bedenklich, dass sich der Anbieter zu dem Thema so sehr bedeckt hält. Ist es dann vielleicht doch nicht das richtige Produkt? Und das meine ich wertneutral.
Wie gesagt schön ist die Sachlage nicht das ist klar. Und ich weiß nicht was INCO darüber denkt oder vor hat.
Ist absolut nicht schön.. Ich meine, es gibt Agenturen, die hier mit X5 Webseiten, Online Shops usw verhökern. Ich glaube nicht, dass die Ihren Kunden sagen, hey, die Kennwörter in der Datenbank kannst du frei sehen.
Oder Die Kunden der Online-Shops, die sich registrieren, ob die das wissen???
Ich meine, es gibt Menschen, die sind so naiv und nutzen nur ein einziges Passwort. Für alles. Facebook, Google, Online-Banking. Nenn den mal Ihr Passwort! :-) Die sollten vorher sitzen. :-)
Es brauch ja nur aus dummen Zufall mal ein Account gehackt werden, nur ein Dummer Zufall und es stellt sich heraus, dass deren Passwort bei xyz.de frei Zugänglich ist. Was glaubt Ihr wer die Schuld bekommt, oder noch besser für den Schaden haftet. Finanziell, bis hin zur Indentität. :-)
Eine E-Mail und ein Passwort genügt. :-)
Oder einer sich im Online-Shop eine Jagtwurst bestellt und einen Monat später eine Rechnung für einen Samsung Curved TV bekommt.
Heut zu Tage reichen ja E-Mail und Passwort..
Sorry @Frank W.
Ich glaube ich spüle deinen Post gerade runter.. :-)
Ich würde diesen POST mal wandeln in Anregung / Idee oder direkt einen neune machen.
Gute Idee, habe ja noch einige aus letztem Jahr offen. :-)
Autor
Nö, vielleicht versteht es der ein oder andere so besser, als letztes Jahr ;-) und wenn es hilft, das Thema bei INCO jetzt mal in den Fokus zu rücken, dann wäre schon einiges getan :-).
Thema darf aber nicht als Punktesteigerung benutzt werden...
Autor
Das bedeutet was?
Es sollte nicht jede Post als "Hilfreich" angeklickt werden (wenn sie es nicht ist) nur um hier Punkte zu sammeln.
Good day everyone
I would like to let you know that I understand the concerns about such a situation that was already reported several times now, but I would also like to confirm that the matter has not been forgotten.
The matter about the encrypted passwords is still being worked on as to be able to apply all the changes to the software without causing major issues with compatibility between versions.
This change relates to several aspects of the software and for this reason, the matter is of utmost importance and requires special care.
For the moment there is no news on this, but I would like to reassure you about the fact that the developers are still actively working and discussing this
Thank you for your feedback as we keep working onto this to always improve the software
Stefano
GOOGLE TRANSLATE ---
Guten Tag
Ich möchte Sie wissen lassen, dass ich die Bedenken bezüglich einer solchen Situation verstehe, über die bereits mehrfach berichtet wurde, aber ich möchte auch bestätigen, dass die Angelegenheit nicht vergessen wurde.
Die Angelegenheit mit den verschlüsselten Passwörtern wird noch bearbeitet, um alle Änderungen an der Software vornehmen zu können, ohne größere Probleme mit der Kompatibilität zwischen den Versionen zu verursachen.
Diese Änderung betrifft mehrere Aspekte der Software. Aus diesem Grund ist die Angelegenheit von äußerster Wichtigkeit und erfordert besondere Sorgfalt.
Im Moment gibt es dazu keine Neuigkeiten, aber ich möchte Sie beruhigen, dass die Entwickler immer noch aktiv daran arbeiten und darüber diskutieren
Vielen Dank für Ihr Feedback. Wir arbeiten ständig daran, die Software immer weiter zu verbessern
Stefano
Na, dass ist ja mal ein Wort!
Nun müssen nur noch Taten folgen. :-)