gestern bekam ich über die WebmasterTools eine Nachricht von Google, mit folgender Info
Ab Januar 2017 kennzeichnet Chrome (Version 56 und höher) Seiten, die Passwörter oder Kreditkarteninformationen erfassen, als "nicht sicher", es sei denn, die Seiten werden über HTTPS bereitgestellt.
Ich habe dann rausgefunden, dass in Shops (ab version 1.7 bis aktuell 2.4), die nicht vollständig über SSL laufen (müssen sie ja auch nicht) beim Kundenlogin in der Adressleiste von Chrome "nicht sicher" steht.
Firefox zeigt wegen dem Loginormular (das per css nicht angezeigt wird) schon auf der Startseite das rot durchgestrichene Schloss an.
Übrigens ist es hier im Forum ähnlich, wenn ich auf anmelden klicke, wird in beiden Browsern "nichtsicher", bzw. das rot durchgestrichene Schloss gezeigt.
Ursache ist, dass die Startseite standardmäßig nicht über SSL läuft und ein Loginformular für die Kundenanmeldung enthält.
Dieses Loginform ist zwar über display: none; unsichtbar gemacht, die Browser entdecken den Code aber im SeitenQuellcode und bringen dann die o.g. Meldung.
Hier im Forum war ja auch schon mal Thema, dass die Links zu den Kundenanmeldeseiten nicht auf https stehen. Das ist technisch zwar korrekt, sieht für kritische Kunden aber unsicher aus.
Das mit der Startseite gilt dann wieder für alle (nicht verschlüsselt übertragenen) Seiten des Shops, da das Loginform in der index.tpl drin steckt und die halt Basis für alle Seiten ist (ohne Checkout und CMS, die haben jeweils eigene index.tpl).
Meine Abhilfe sieht jetzt so aus:
Ich will den Shop nur für den Checkout verschlüsseln. Und zwar ab den Kundenseiten und dem Warenkorb.
Dazu habe ich folgende Anpassungen vorgenommen:
in der index.tpl, checkout_index.tpl und cms_index.tpl:
- die Links zu den Kundenseiten von URLPFAD auf URLPFAD_SSL gestellt, sind mehrere, weil da die Links zu Meine Downloads, Meine Bestellungen usw. auch drin sind (nicht nötig in checkout_index.tpl und cms_index.tpl)
- Link zum Logo von URLPFAD auf URLPFAD_NOSSL
- Link zu News von URLPFAD auf URLPFAD_NOSSL (Oben und im Footer)
in themes/bestellen/index.php :
bei "// Nicht angemeldet" von URLPFAD auf URLPFAD_SSL gestellt, damit die Weiterleitung aus dem Warenkorb auf eine verschlüsselt übertragene Kundenseite führt
in themes/warenkorb/index.php :
von URLPFAD_NOSSL auf URLPFAD_SSL umgestellt, das URLPFAD_NOSSL macht hier überhaupt keinen Sinn, hätte vorher schon URLPFAD (besser URLPFAD_SSL) heißen müssen.
Damit werden die Seiten nun immer über SSL angezeigt, vorausgesetzt natürlich es ist ein Zertifikat installiert und in der config.inc.php auch entsprechend angestellt.
das jetzt nur mal auf die Schnelle, vielleicht kann das ja jemand beim eigenen Shop überprüfen. Sollten genauere Codeangaben notwendig sein, einfach melden dann bau ich das aus.
viele Grüße
Magnus