Shopware und die Security Header

Ein permanentes Thema für Webseiten- und vor allem Shop-Betreiber ist das Thema Sicherheit. Shopware sichert das System mit regelmäßigen Updates und dem hauseigenen Sicherheits-Plugin kontinuierlich ab. Das Sicherheits-Plugin ermöglicht Shopware-Shop-Betreibern, auch ältere Shopware-Versionen auf dem aktuellen Stand der Sicherheit zu halten, sofern es im Plugin-Manager auch zuverlässig auf den neuesten Stand gebracht wird.

Während Shopware also intern den Shop gegen Hacker- und Phishing-Attacken abriegelt, bleiben die externen – also individuellen Maßnahmen für Besucher des Shops weiterhin in der Hand der Betreiber selbst.

Hier kommen die HTTP Security-Header ins Spiel, mittels derer Funktionen moderne Webbrowser Nutzer vor Angriffen bewahren können. Sie bestimmen die Regularien, welche Inhalte von wem gestattet sind, um z.B. Manipulationsversuche von HTML, CSS und JS Code aus unbekannten Quellen zu verhindern.

Security Header können beispielsweise in der .htaccess in folgendem Tag definiert werden:

<IfModule mod_headers.c>
[…]
</IfModule>

Diese Security Header können Ihnen helfen

X-XSS-Protection

unterdrückt „Reflective Cross-Site-Scripting Attacken“, welche über GET oder POST gesendete Parameter an den Nutzer „reflektieren“. Darüber ließen sich sonst Links konstruieren, die bösartiges JavaScript im Browser des Besuchers ausführen.

Empfohlene Einstellung:

Header set X-XSS-Protection "1; mode=block"

 

X-Content-Type-Options

unterbindet mit das Standardverhalten des Browsers, zu raten, welcher Datentyp übermittelt wurde, wenn die entsprechende Dateiendung oder die Kennzeichnung im Content-Type Header fehlt. Beim Hochladen einer undefinierten Datei würde damit meistens „text/html“ angewandt und somit schädlicher Code ausgeführt werden können.

Empfohlene Einstellung:

Header set X-Content-Type-Options nosniff

 

X-Frame-Options

legt fest, ob eine bestimmte Webseite in einem Frame integriert werden darf. So werden iFrames auf der eigentlichen Seite nicht eingeschränkt. Der Header sorgt aber dafür, dass entsprechende Seiten vom Browser nicht geladen werden, wenn sie in einer anderen oder unbekannten, mutmaßlicher Weise einer schädlichen Seite eingebettet wurden.

Mögliche Einstellungen:

Header always append X-Frame-Options DENY, SAMEORIGIN, ALLOW-FROM

 

Strict-Transport-Security

teilt dem genutzten Browser des Nutzers mit, dass die aktuell aufgerufene Seite für einen frei wählbaren Zeitraum nur per HTTPS aufgerufen werden darf. HTTP-Aufrufe werden somit in HTTPS-Verbindungen umgewandelt.

Empfohlene Einstellungen mit mindestens 6 Monaten:

Header set Strict-Transport-Security max-age=17280000

 

Feature-Policy

kann z.B. die Aktivierung von Kamera, Mikrofon und der Payment-API verbieten. Ebenso kann Feature Policy den Abruf des aktuellen Standorts oder oder die Vibrationsfunktion blockieren.

Empfohlene Einstellung:

Header set Feature-Policy "camera 'none'; microphone 'none'; payment 'none'; geolocation 'none'; vibrate 'none';"

 

Referrer-Policy

verschleiert beim Verlassen der Webseite durch Klick auf einen Link zu einer anderen Domain die Herkunft der Nutzer. Dies betrifft vorrangig den Datenschutz.

Empfohlene Einstellung:

Header set Referrer-Policy no-referrer

 

Content-Security-Policy

kurz CSP legt detailliert fest, welche Verwendung von diversen Datentypen und deren Quelle auf der Seite zugelassen ist.

Dieser Header kann generell in Verbindung mit Shops bei zu strikter Regulierung für Probleme sorgen. Durch den Einsatz von Payment Plugins und Inline JS etc. können ganze Funktionalitäten ausgehebelt werden.

Für Shopware 5 empfiehlt sich daher folgende Einstellung:
default-src https:; script-src https: 'unsafe-inline' 'unsafe-eval' data:; style-src https: 'unsafe-inline'; img-src https: data:; font-src https: data:

Die härteste Einstellung wäre:
default-src 'self' und script-src 'self'

Das ist mit Shopware 5 und seinem Aufbau der Einkaufswelten etc aber leider noch nicht realisierbar. Dazu kommen die Verknüpfungen mit Google Adwords, Analytics und sonstige Tracking-Provider, die aktuell noch sehr gerne über Inline-JavaScript ihre Dienste einbinden.

Ein komplettes Beispiel für Shopware könnte demnach so aussehen:

<IfModule mod_headers.c>

    Header set X-XSS-Protection "1; mode=block"

    Header always append X-Frame-Options SAMEORIGIN

    Header set X-Content-Type-Options nosniff

    Header set Strict-Transport-Security max-age=31536000; includeSubDomains

    Header set Referrer-Policy no-referrer

    Header set Feature-Policy "camera 'none'; microphone 'none'; geolocation 'none'; vibrate 'none';"

    Header set Content-Security-Policy " default-src https:; script-src https: 'unsafe-inline' 'unsafe-eval' data:; style-src https: 'unsafe-inline'; img-src https: data:; font-src https: data:"

</IfModule>

 

Es existieren mittlerweile auch Plugins, die die Einbindung der Security Header bequem im Backend ermöglichen. Da wird Shopware aber sicher nicht das einzige Shop-System bleiben.

In diesem Sinne, fröhliches Absichern!

 

Onlineshopping mit Emotion für ein wahres Kundenerlebnis!

Wie machen Sie Ihren Einkaufsprozess unkompliziert und anreizend? Wie gestalten Sie Ihren Shop, sodass er für Ihre Besucher ein Erlebnis mit Ihrem Produkt bietet? Bieten Sie Ihren Kunden  eine spannende Customer Journey, denn das „im Laden rumstöbern“ ist auch im Online-Shop sehr beliebt. Sie möchten sich bei Ihnen wohlfühlen und das Einkaufen mit einem positiven und realen Einkaufserlebnis verbinden. Damit geht einher, dass eine optimierte User Experience dafür sorgt, dass der Kunde sich voll und ganz auf das Einkaufen ohne Komplikationen konzentrieren kann. Das steigert den Umsatz und stellt eine emotionale Bindung zwischen dem Kunden und Ihrer Marke, die zum Wiederkommen bewegt. Shopware bietet Ihnen hierfür nun ein Tool zur Produktinszenierung.

Doch wie geht das? Wie muss man das strategisch angehen?

Emotionales Kundenerlebnis jetzt in 3D!

Machen Sie Ihre Produkte durch 3d-Visualisierungen greifbar! Gewinnen Sie das Vertrauen Ihres Kunde indem Sie Ihr Produkt in allen Facetten abbilden. Besonders Produkte, die viele Details haben werden durch eine 3-Dimensionale Darstellung greifbarer und erleichtern die Kaufentscheidung.

Shopware bietet hierzu einen 3D-Editor, der Ihre Produkte spannend in Szene setzt. Ein 3D-Modell hierfür zu entwickeln ist allerdings keine Laien-Arbeit. Hierbei bieten wir allerdings gerne unsere Unterstützung an – kontaktieren Sie uns.

Das neue Shopware-Universum

Was muss ein Shop-System bieten um für die Zukunft des Online-Handels gewappnet zu sein? Mit dieser Frage hat sich Shopware befasst. Ganz vorne in dieser Diskussion liegt das Thema Individualität, da sich die Automatisierung nur lohnt, wenn dadurch jedem einzelnen Kunden ein einzigartiges Produkterlebnis geboten werden kann.

Ganz nach dem Motto „API-first“ wird hier der Fokus auf eine optimierte Schnittstellen-Programmierung gelegt. Diese Grundlage langt nach einer kompletten Überarbeitung des Shopware-Systems auf den neuesten Stand der Technik. Angefangen bei der neuen und modernen Administrationsoberfläche, die auf Flexibilität im rasant ändernden Nutzerverhalten ausgelegt ist – hier ist der Nutzer im Zenit aller Entwicklungen. Ein Einkaufserlebnis ohnegleichen ist Voraussetzung für das umkämpfte E-Commerce-Umfeld.

Die drei Shopware-Checkliste für erfolgreiches E-Commerce

  • Automatisierung
  • Individualität
  • Erlebnis

Shopware Playground – die Spielwiese für Händler und Entwickler

Als Playground bezeichnet Shopware seine neue Entwicklung der Administrationsoberfläche, da sie mit den schier unendlichen Möglichkeiten einer großen Spielwiese anmutet. Shopbetreiber und Entwickler stehen zugleich ein Experimentierkasten mit höchst effizienten Ansätzen für alle möglichen Geschäftsmodelle zur Verfügung. Das, in Verbindung mit der modernen API, lässt es zu, dass man schnell eigene Ideen entwickeln und umsetzen kann.

Unsere Programmierer sind mit Shopware immer auf dem neuesten Stand. Somit sind wir in der Lage stetig neue Wege einzuschlagen und Möglichkeiten wahrzunehmen Projekte für unsere Kunden zeitgemäß und individuell zu entwickeln.

Neues Interface für den Shopbetreiber

Auch Sie als Shopbetreiber gehen in Sachen User Experience nicht zu kurz aus. Das User Interface der Administration ist so ausgelegt, dass alle administrativen Aufgaben sehr intuitiv und effizient erledigt werden können. Allerdings müssen Sie mit der breiten Auswahl an Individualisierungsmöglichkeiten ein gewisses Maß an Vorstellungskraft und Mut mitbrigen. Neue Ideen und Visionen für den E-Commerce werden in Zukunft zunehmend ausschlaggebend für den Erfolg in Ihrem Markt.

Die Ergebnisse für 2018 sind eingetroffen.

Unser Partner Shopware hat zum Ende des Jahres 2018 mehr als 750 Online-Shop-Besitzer über Ihre E-Commerce-Geschäfte, die kommenden Trends und den aktuellen Stand der Online-Shops befragt. Die Ergebnisse dieser Umfragen bieten einen wertvollen Einblick in die Situation und die Erwartungen an das E-Commerce, allerdings sind die Ergebnisse keine große Überraschung, da der rasante Fortschritt des E-Commerce nun seit einigen Jahren stetig anhält.

Umsätze wachsen weiter enorm

Die Händler der Umfrage sind zwar etwas vorsichtiger und meinen, dass der Umsatz sich etwas langsamer in 2018 entwickelte als in den Vorjahren, halten das Niveau aber immer noch für überdurchschnittlich. So geben 70% der Online-Shopbesitzer an, dass Sie von einem nicht ganz so großen Umsatzwachstum wie in den Jahren zuvor ausgehen, 20% erwarten, dass es genauso gewachsen ist.

Branchenkennzahlen:

  • 13,25% Nahrungs-, Genussmittel & Getränke
  • 13,09% Bekleidung & Accessoires
  • 53% vertreiben Waren auch aus eigener Herstellung
  • 40% vertreiben Waren in stationären Läden
  • 30% geben einen durchschnittlichen Bestellwert zwischen 51 und 100  Euro an.
  • B2B-Onlinehandel gewinnt an Bedeutung und ist weiterhin im Wachstum!

Die klassischen Zahlungsarten bleiben ungeschlagen

Käufer setzen weiter auf die klassischen Zahlungsarten, wenn sie im Internet shoppen. Das repräsentieren auch die Zahlen:

  • 88,31% Vorkasse
  • 82,80% Paypal
  • 50,58% Rechnung
  • 46,08% Kreditkarte

An einem gewissen Punkt hätte man denken können, dass Kryptowährungen wie Bitcoin den Markt im Sturm erobern. Im Gegenteil – nicht einmal 1% der Händler bieten jegliche Kryptowährungen als Zahlungsart gar an.

Große Herausforderungen durch neue Gesetze und Marktbegleiter

Für 2019 sehen 55,98% der Online-Händler ihre größten Herausforderungen in den Gesetzesänderungen für 2019. Vor allem das neue Verpackungsgesetz liegt den Händlern noch auf der Seele. Die nächste und auch größte Herausforderung sehen 44,46% der Online-Shop-Betreiber im hohen Konkurrenzdruck auf dem digitalen Markt. Die Online-Strategien müssen immer ausgefeilter werden, denn auch immer mehr Start-Ups mit frischen Ideen und großem Wissensschatz in der digitalen Welt bevölkern zunehmend den Markt. Daher wird es gerade in der heutigen Umgebung immer wichtig einen richtigen Partner an der Seite zu haben, der Sie mit Ihrer Online-Präsenz berät und unterstützt.

Auch 2018 wird das Online-Business wieder wachsen. Man rechnet für 2018 mit einem Gesamtumsatz im E-Commerce-Markt mit zirka 63.700 Mio. Euro – 2017 lag der Umsatz bei 58.292 Mio. Euro. Somit sprechen wir von einem Plus von über 5 Mio. Euro (Quelle: Statista).

Wachsende Bedeutung der Marktplatz-Riesen

Trotz der wachsenden Bedeutung der Marktplätze für Online-Händler ist die Beziehung dazu nach wie vor gespalten und von zwei Seiten aus zu betrachten. Auf der einen Seite machen nämlich 10 % der Händler auf den Marktplätzen 21% – 40% ihres Online-Umsatzes nur über den Riesen Amazon, ungefähr die gleichen Zahlen erwirtschaften sie auch auf eBay und anderen Marktplätzen. Allerdings liegt hier auf der anderen Seite auch das größte Verdrängungspotenzial. Hier geben 35,54% der Online-Händler an, mit den damit verbundenen wachsenden Herausforderungen immens gefordert zu sein.

Die Top-Trends 2019 der Befragten

Ganz oben sehen 11,01% der befragten Online-Shop-Besitzer den Trend des Mobile-first und rechnen mit weiter steigenden Umsätzen, die über die mobilen Endgeräte generiert werden. Das Wachstum und der Nutzen von Künstlicher Intelligenz steht mit knappen 5% hier gleich als weiterer Trend für die Zukunft an. Hier sieht man vor allem einen Wachstumstreiber in den Chatbots, der intelligenten Shop-Suche und in automatisierten Produktkatalogen. An dritter Stelle steht für die befragten Online-Händler mit über 3% der Ausbau  ihres B2B-Geschäfts auf Online-Basis.