Bei Bedarf ist es möglich, den HTML Sanitizer in Shopware 6 komplett zu deaktivieren. Hiervon wird stark abgeraten, da sonst folgende Sicherheitsrisiken bestehen.
Die Sicherheit einer E-Commerce-Website ist von größter Bedeutung, insbesondere wenn es um den Schutz der Kundendaten und die Vermeidung von Sicherheitsverletzungen geht. Eine wichtige Funktion, die dazu beiträgt, die Sicherheit eines Online-Shops zu gewährleisten, ist der HTML Sanitizer. Bei Shopware 6 besteht die Möglichkeit, den HTML Sanitizer vollständig zu deaktivieren. Es wird jedoch dringend davon abgeraten, dies zu tun, da damit erhebliche Sicherheitsrisiken verbunden sind. In diesem Blog-Beitrag werden wir uns genauer mit den Risiken beschäftigen, die auftreten können, wenn der HTML Sanitizer nicht verwendet wird.
Eines der größten Sicherheitsrisiken, die bei der Deaktivierung des HTML Sanitizers auftreten können, sind sogenannte Cross-Site Scripting (XSS)-Angriffe. XSS-Angriffe treten auf, wenn schädlicher Code in den Code einer Website eingeschleust wird. Durch den Einsatz eines HTML Sanitizers wird dieser schädliche Code entfernt oder deaktiviert, bevor er an den Benutzer ausgeliefert wird. Ohne ordnungsgemäßes Sanitizing könnte ein Angreifer schädlichen Code in den Shop einschleusen, was potenziell die Sicherheit von Benutzerdaten gefährdet, sensible Informationen stiehlt oder sogar Malware verbreitet.
Ein weiteres Sicherheitsrisiko betrifft die Datenintegrität und Vertraulichkeit. Der HTML Sanitizer spielt eine wichtige Rolle bei der Gewährleistung der Integrität und Vertraulichkeit der von Benutzern eingegebenen Daten. Durch das Sanitizing werden potenziell schädliche oder manipulierte Daten entfernt, um sicherzustellen, dass nur vertrauenswürdige und sichere Informationen im Shop angezeigt werden. Ohne Sanitizing können Angreifer Schwachstellen ausnutzen, um Benutzerdaten zu modifizieren oder zu manipulieren. Dies könnte zu potenziellen Datenschutzverletzungen, unbefugtem Zugriff oder Manipulation sensibler Informationen führen.
Darüber hinaus spielt der HTML Sanitizer auch eine wichtige Rolle bei der Aufrechterhaltung des Rufs und des Kundentrusts eines Online-Shops. Wenn ein Shop aufgrund fehlenden Sanitizings anfällig für Sicherheitsrisiken wird, kann dies den Ruf des Shops erheblich schädigen und das Vertrauen der Kunden untergraben. Nachrichten über Sicherheitsverletzungen, kompromittierte Benutzerdaten oder häufige Angriffe können potenzielle Kunden davon abhalten, Einkäufe zu tätigen oder ihre persönlichen Informationen zu teilen. Dies hat negative Auswirkungen auf den Erfolg und die Rentabilität des Shops.
Neben den offensichtlichen Sicherheitsrisiken kann das Deaktivieren des HTML Sanitizers auch zu rechtlichen und Compliance-Problemen führen. Unternehmen sind gesetzlich verpflichtet, Kundendaten zu schützen und angemessene Sicherheitsmaßnahmen zu ergreifen. Das Fehlen eines ordnungsgemäßen HTML Sanitizers kann zu rechtlichen Konsequenzen führen, einschließlich Geldstrafen, Klagen oder anderen rechtlichen Maßnahmen, wenn es zu einem Datenverstoß oder einer Verletzung des Datenschutzes kommt.
Nicht zuletzt können erfolgreiche Angriffe auf einen Shop zu Betriebsstörungen und finanziellen Verlusten führen. Die Behebung der Folgen eines Sicherheitsverstoßes erfordert Zeit und Ressourcen. Dazu gehören die Untersuchung des Vorfalls, die Implementierung von Korrekturen, die Benachrichtigung betroffener Kunden und die Wiederherstellung der Systeme. Diese Maßnahmen sind nicht nur kostspielig, sondern können auch zu Ausfallzeiten und Vertrauensverlust bei Kunden führen.
Es wird daher dringend empfohlen, den HTML Sanitizer in Shopware 6 nicht vollständig zu deaktivieren. Die Verwendung eines HTML Sanitizers ist von entscheidender Bedeutung, um die Sicherheit, Integrität und Vertraulichkeit der Benutzerdaten zu gewährleisten, den Ruf des Shops zu schützen und rechtliche Probleme zu vermeiden. Die Investition in Sicherheitsmaßnahmen ist eine lohnende Investition, um potenzielle Sicherheitsrisiken zu minimieren und einen erfolgreichen und vertrauenswürdigen Online-Shop aufzubauen.
Möchte man den HTML Sanitizer dennoch deaktivieren, so haben wir hier eine Anleitung dazu geschrieben.
Weshalb ist der Editor denn im Ticketing/Account System ohne solche Filterung? Externe Bilder können dort problemlos eingefügt werden. Das erscheint mir etwas widersprüchlich.