Wykaz zmian do wersji 5.0.1 (05.03.2024)

Google Consent Mode v2.

W nowej wersji dostosowaliśmy e-Commerce Enterprise by Asseco do wymagań Google Consent Mode v2, czyli nowego zbioru reguł Google, związanych z przesyłaniem danych o stanie zgód użytkownika serwisu pomiędzy usługami marketingowymi Google.

W ramach aktualizacji obsłużone zostały dwa nowe parametry wymagane przez Google Consent Mode v2:

  • ad_user_data – ustawia zgodę na przesyłanie danych użytkownika związanych z reklamą do Google

  • ad_personalization – ustawia zgodę na spersonalizowane reklamy

Wartości powyższych parametrów ustawiane są na podstawie zgody użytkownika na ciasteczka marketingowe.

Ustawienia bezpieczeństwa

Udostępniono nową zakładkę Ustawienia bezpieczeństwa (Administracja  Konfiguracja  Ustawienia sklepu), która pozwolą uprawnionym Operatorom na zarządzanie niektórymi zabezpieczeniami sklepu przed atakami internetowymi. Domyślnie opcje są włączone i funkcjonują w Sklepie od jakiegoś czasu, jednakże teraz opcje dotyczące ich aktywności zostały udostępnione do zarządzania.

Obecnie w zakładce dostępne są opcje:

  • Włącz ochronę przed CSRF, która chroni aplikację przed wykorzystaniem przez osoby trzecie uprawnień zalogowanych Kupujących do działań niebezpiecznych, poprzez dodanie tokenu CSRF do wykonywanych żądań z przeglądarki. Mechanizm chroni Kupujących przed wysłaniem przez atakującego spreparowanych żądań do serwera. Taki atak polega na skłonieniu Kupującego do kliknięcia w fałszywy link, który następnie przesyła do serwera odpowiednio spreparowane żądanie, wykorzystując do tego uprawnienia zalogowanego Kupującego. Dzięki dodatkowej weryfikacji tokenu potencjalne próby ataków tego typu będą nieskuteczne.

  • Dodaj nagłówek X-Frame-Option — gdy opcja jest aktywna, pomaga zapobiegać atakom typu "Clickjacking". Są to ataki polegające na skłonieniu użytkownika strony do kliknięcia czegoś innego niż widziany przez niego element poprzez nałożenie na niego innej "przeźroczystej" strony, co potencjalnie umożliwia ujawnienie poufnych informacji. Dzięki nagłówkowi X-Frame-Option dodanemu do odpowiedzi HTTP, osadzenie zawartości aplikacji na innych stronach jest ograniczone, co zapewnia, że strony aplikacji mogą być wyświetlane w ramkach pochodzących z tego samego źródła i czyni próby ataku tą metodą nieskutecznymi.

Ze względów bezpieczeństwa zalecamy, by obydwie opcję były włączone.
image1 b2c
Rysunek 1. Widok zakładki Ustawienia bezpieczeństwa w Panelu Administracyjnym