Sicherheitspolitik

🚨 Melden einer Schwachstelle

Die Sicherheit unserer Module und unserer Kunden hat oberste Priorität. Daher ermutigen wir Sicherheitsexperten, unsere Module zu analysieren und gefundene Schwachstellen im Einklang mit den Best Practices der verantwortungsvollen Offenlegung zu melden.

Wenn Sie glauben, eine Schwachstelle in einem unserer Module entdeckt zu haben, können Sie diese verantwortungsvoll melden an: info@idnovate.com.

Bitte geben Sie so viele Details wie möglich an (Beschreibung, Auswirkungen, betroffene Version, Schritte zur Reproduktion).

📜 Unsere Richtlinie zum Schwachstellenmanagement

Gemäß der TouchWeb-Charta für verantwortungsvolle Cybersicherheit wendet unser Team die folgenden Grundsätze an:

Bestätigung jeder relevanten Meldung innerhalb von maximal 7 Tagen. (CVSS ≥ 4.0)
Analyse der Auswirkungen und Planung eines Fixes innerhalb von maximal 30 Tagen.
Veröffentlichung eines Sicherheitshinweises mit einer CVE-ID, wenn der CVSS-Score ≥ 7.5 beträgt.
Es wird niemals ein Fix stillschweigend veröffentlicht.

Darüber hinaus verpflichten wir uns zu einer verantwortungsvollen und ethischen Behandlung von Schwachstellen:

Wir werden keine rechtlichen Schritte gegen Forscher einleiten, die in gutem Glauben handeln, insbesondere im Rahmen des von TouchWeb SAS verwalteten YesWeHack-Programms.
Wir garantieren, dass keine Vertraulichkeitsvereinbarung – auch nicht im White-Label-Kontext – die transparente Veröffentlichung eines Sicherheitshinweises mit CVE-ID verhindert, im Einklang mit den besten Branchenpraktiken.

Uns ist bewusst, dass diese Transparenz entscheidend ist, damit alle beteiligten Dritten (Agenturen, Händler usw.) ihre Compliance-Verpflichtungen erfüllen können – insbesondere im Rahmen des PCI-DSS-Standards oder vereinfachter Varianten wie SAQ-A.

🛡️ Veröffentlichungserlaubnis

Wir erteilen der Firma TouchWeb SAS ausdrücklich die Erlaubnis, Informationen über behobene Schwachstellen in unseren Modulen auf ihrer offiziellen Website zu veröffentlichen, im Einklang mit den Verpflichtungen der Charta für verantwortungsvolle Cybersicherheit.

Diese Veröffentlichung kann Folgendes enthalten:

Eine CVE-Kennung, die der Schwachstelle zugeordnet ist.
Einen Sicherheitshinweis mit klarer Beschreibung des Problems und der Lösung.
Die betroffenen Versionen und die Version mit dem Fix.
Einen leicht anwendbaren Patch, wenn ein Update schwer umzusetzen ist.
Nützliche Informationen, um Nutzern und Agenturen zu helfen, sich schnell zu schützen.

🔍 Offenlegung

Nachfolgend finden Sie eine Liste bekannter und behobener Sicherheitslücken:

Datum	Modul	Betroffene Version	Behobene Version	CWE	CVSS	CVE
2023-10-31	superuser	>= 2.3.5	2.4.2	CWE-305 CWE-639	7.5	CVE-2023-45899
2023-04-12	advancedpopupcreator	<= 1.1.24	1.1.25	CWE-89	9.8	CVE-2023-27032

Cookie-Name	Anbieter	Zweck	Ablauf
apc_popup_session	idnovate.com	Wird verwendet, um zu wissen, ob es sich um eine neue Browsersitzung handelt.	Session
cookiesplus	idnovate.com	Speichert Ihre Cookie-Einstellungen.	1 Jahr
PHP_SESSID	idnovate.com	Dieses Cookie stammt ursprünglich aus PHP und ermöglicht es Websites, serialisierte Statusdaten zu speichern. Es wird verwendet, um eine Benutzersitzung einzurichten und Statusdaten über ein temporäres Cookie zu übergeben, das üblicherweise als Sitzungscookie bezeichnet wird.	Session
PrestaShop-#	idnovate.com	Mit diesem Cookie können Benutzersitzungen während des Besuchs einer Website geöffnet bleiben und Bestellungen und viele weitere Vorgänge ausführen, z. B.: Datum des Hinzufügens des Cookies, ausgewählte Sprache, verwendete Währung, zuletzt besuchte Produktkategorie, zuletzt gesehene Produkte, Kundenidentifikation, Name, Vorname, verschlüsseltes Passwort, mit dem Konto verknüpfte E-Mail, Warenkorbidentifikation.	480 Std

Cookie-Name	Anbieter	Zweck	Ablauf
twk_idm_key	idnovate.com	Ermöglicht der Webseite, den Besucher zu erkennen, um die Chat-Box-Funktionalität zu optimieren.	Session
twk_uuid_#	idnovate.com		180 Tage

Cookie-Name	Anbieter	Zweck	Ablauf
TawkConnectionTime	idnovate.com	Ermöglicht der Webseite, den Besucher zu erkennen, um die Chat-Box-Funktionalität zu optimieren.	Session
_clck	idnovate.com	Sammelt Daten über die Navigation und das Verhalten des Benutzers auf der Website. Dies wird verwendet, um statistische Berichte und Heatmaps für den Eigentümer der Website zu erstellen.	1 Jahr
_clsk	idnovate.com	Registriert statistische Daten über das Benutzerverhalten auf der Website. Wird für interne Analysen des Website-Betreibers verwendet.	1 Tag

Cookie-Name	Anbieter	Zweck	Ablauf
_ga	Google	Registriert eine eindeutige ID, die verwendet wird, um statistische Daten dazu, wie der Besucher die Website nutzt, zu generieren.	2 Jahre
_gat	Google	Wird von Google Analytics verwendet, um die Anforderungsrate einzuschränken	1 Tag
_ga_#	Google	Sammelt Daten dazu, wie oft ein Benutzer eine Website besucht hat, sowie Daten für den ersten und letzten Besuch. Von Google Analytics verwendet.	2 Jahre
_gcl_au	Google	Conversions speichern und verfolgen	Hartnäckig
_gd#	Google	Dies ist ein Google Analytics-Sitzungscookie, mit dem statistische Daten zur Nutzung der Website generiert werden, die beim Beenden Ihres Browsers entfernt werden.	Session
_gid	Google	Registriert eine eindeutige ID, die verwendet wird, um statistische Daten dazu, wie der Besucher die Website nutzt, zu generieren.	1 Tag