miniOrange-Logo

Produkte

Plugins

AnzeigenPreise

Ressourcen

Das Unternehmen

Shopify-Benutzersitzungsverwaltung

miniOrange
17th April, 2025

Was ist eine Sitzung?

Lassen Sie uns zunächst verstehen, wie eine Webanwendung oder Website wie Shopify Store verwaltet den BenutzerzugriffIm Allgemeinen gibt es drei Schichten von Sicherheitsmechanismen:

  • Authentifizierung
  • Session-Management
  • Zugriffskontrolle

Mithilfe dieser Mechanismen lässt der Store den Benutzer mit dem Server kommunizieren, sodass die Kommunikation gesichert ist und kein Angreifer die Kommunikation abfangen kann. Wenn sich ein Benutzer/Kunde bei einem Store anmeldet, weiß der Server nicht, wer die Person hinter dem System ist. Um dieses Problem zu lösen, erstellt der Server eine Sitzung für diesen Benutzer und diese Sitzung wird auf mehreren Webseiten verwendet. Der Server erstellt auch Sitzungen, um anonyme Benutzer nach ihrer allerersten Anfrage zu verfolgen.

Sitzungsverwaltung in Shopify

Sobald die Sitzung in Shopify hergestellt wurde, wird eine Sitzungs-ID generiert und an den Browser des Benutzers gesendet. Dieses Shopify-Sitzungstoken ermöglicht es dem Shop, einen authentifizierten Status beizubehalten und die Benutzeraktivität zu überwachen. Die Sitzungs-ID ist für die Verwaltung der Shopify-Benutzersitzungen sehr wichtig und wird zwischen dem Benutzer und der Anwendung geteilt, bis die Sitzung endet.

Angreifer oder Hacker können jedoch versuchen, einen Angriff auf die aktive Sitzung zu starten und sie zu kapern. Daher ist es zwingend erforderlich, für jede Sitzung Ablauftimeouts festzulegen. Je kürzer das Sitzungsintervall ist, desto weniger Zeit hat ein Angreifer, die gültige Sitzungs-ID zu verwenden.

Wenn sich der Benutzer vom Store abmeldet oder für eine bestimmte Zeit inaktiv bleibt, läuft die Sitzung ab. Typische Szenarien, in denen sich der Benutzerstatus von authentifiziert zu nicht authentifiziert ändert, sind Kennwortänderungen, Berechtigungsänderungen usw. In diesem Fall muss die alte Sitzungs-ID beendet werden und für alle weiteren Anfragen an die Store-Anwendung wird ein neues Shopify-Sitzungstoken verwendet.

Wenn Sie auf einem Gerät bei Ihrer Store-Verwaltung angemeldet sind, werden Sitzungen von diesem Gerät nicht als Online-Store-Sitzungen gezählt.

Warum brauchen wir adaptive Authentifizierung?

Unsachgemäße Verwaltung von Shopify-Benutzersitzungen oder schwache Authentifizierung können Angreifern ermöglichen, Konten zu kompromittieren, indem sie Passwörter oder Sitzungstoken stehlen. Viele Entwicklungsframeworks bieten Tools zur sicheren Implementierung der Sitzungsverwaltung, aber viele dieser Lösungen weisen Schwächen auf. Durch die Implementierung einer adaptiven Authentifizierung können wir diesen Ärger beseitigen. Adaptive Authentifizierung bietet eine zusätzliche Ebene der Multi-Faktor-Authentifizierung Sicherheit basierend auf Risiko und Zugriff durch Sicherheitsadministratoren.

Was ist adaptive Authentifizierung?

Adaptive Authentifizierung Bezeichnet eine Art Multi-Faktor-Authentifizierung, die Authentifizierungsmethoden dynamisch basierend auf dem Risikoprofil des Benutzers auswählt. Beispielsweise kann MFA basierend auf Faktoren wie Anmeldeverhalten, Geräte-IP, Geolokalisierung usw. ausgelöst werden. Dies verbessert die Sicherheit von Shopify-Onlineshop-Sitzungen und bietet gleichzeitig ein maßgeschneidertes Benutzererlebnis.

Adaptive Authentifizierung in Shopify

Wenn sich ein Benutzer bei einem Geschäft anmeldet, wird die Sicherheitskomponente durch adaptive Authentifizierung erhöht, indem automatisch eine Echtzeit-MFA ausgelöst wird, wenn Risiken wie Betrug oder falsche Authentifizierung erkannt werden. Das Authentifizierungsrisiko wird überprüft, ohne dass sich der Benutzer dessen bewusst ist, und die Multi-Faktor-Authentifizierung (MFA) wird nur angewendet, wenn das damit verbundene Risiko hoch ist.

Adaptive Authentifizierung

Die adaptive Authentifizierung passt sich dem Risikoniveau an und bietet unabhängig vom Risikoniveau Ihres Unternehmens eine angemessene Authentifizierungsstufe. Adaptive Authentifizierungslösungen können die Authentifizierungsmethoden auf der Grundlage einer Vielzahl von Faktoren stärken, darunter:

  • Ursprungs IP-Addresse
  • Uhrzeit
  • Geolokalisierung (physischer Standort)
  • Entitätstyp (Gerätetyp)
  • Inhaltsbasiert

Während der Onlineshop-Sitzungen bewertet Shopify jede Anfrage und weist einen Risikowert zu. Abhängig vom Risikowert muss der Benutzer möglicherweise zusätzliche Authentifizierungsfaktoren angeben, um seine Identität zu beweisen.

Bei Shopify-Shops mit teambasiertem Betrieb können Administratoren mithilfe der Mitarbeitersitzungsverwaltung Rollen und Berechtigungen zuweisen. Dadurch wird sichergestellt, dass Mitarbeiter über den entsprechenden Zugriff verfügen, während unbefugte Aktionen verhindert werden.

Wenn ein Benutzer beispielsweise versucht, über mehrere Geräte auf den Store zuzugreifen, wird er möglicherweise aufgefordert, sich von anderen Geräten abzumelden. Wenn der Benutzer versucht, sich von einem anderen geografischen Standort als seinem Büro aus anzumelden, muss er möglicherweise seine Identität durch Beantwortung einer Sicherheitsfrage bestätigen. Durch die Integration der adaptiven Authentifizierung in die Benutzersitzungsverwaltung von Shopify und Mitarbeiter-Sitzungsverwaltungkönnen Ladenbesitzer die Sicherheit gewährleisten, ohne den Benutzerkomfort zu beeinträchtigen.

Anwendungsfälle für Sitzungsverwaltung und adaptive Authentifizierung

Beenden Sie die Benutzersitzung und verhindern Sie mehrere gleichzeitige Anmeldungen desselben Benutzers.

Bedenken Sie, dass Sie Shopify verwenden, um Streaming-Videos zu verkaufen, auf die nur nach dem Kauf des Abonnements zugegriffen werden kann. Kunden versuchen möglicherweise, ihre Anmeldeinformationen an andere weiterzugeben, sodass mehrere Benutzer gleichzeitig auf den Inhalt zugreifen können.

Als Ladenbesitzer möchten Sie Benutzer davon abhalten, ihre Anmeldeinformationen weiterzugeben und Kundenkonto einschränken sodass sich immer nur ein Benutzer von einem Gerät aus anmelden kann.

Angenommen, der Kunde ist bereits von einem Gerät aus angemeldet. Wenn ein anderer Benutzer versucht, sich mit denselben Anmeldeinformationen von einem anderen Gerät aus anzumelden, möchten Sie einen der folgenden Schritte ausführen:

  • Fordern Sie den Benutzer auf, sich vom ersten Gerät abzumelden, und blockieren Sie die Anmeldung vom zweiten Gerät, bis sich der Benutzer erfolgreich vom ersten Gerät abmeldet.

  • Beenden Sie die Sitzung auf dem ersten Gerät, ohne den Benutzer zu benachrichtigen, und melden Sie den Benutzer vom zweiten Gerät aus an, indem Sie eine neue Sitzung erstellen.

Mit Tools wie der miniOrange-App können Sie die Anzahl der Geräte beschränken, die gleichzeitig auf ein Shopify-Shop-Konto zugreifen können.

In der Praxis sieht das folgendermaßen aus: Wenn sich „Gerät A“ beim Shop anmeldet, wird eine Sitzung eingerichtet. Wenn „Gerät B“ versucht, sich mit denselben Anmeldeinformationen anzumelden, werden alle Sitzungen widerrufen. Das Shopify-Sitzungstoken für „Gerät A“ wird ungültig und der Benutzer von „Gerät B“ wird mit einer anderen Sitzung angemeldet.

Mithilfe dieser Funktion können Sie Mehrfachanmeldungen desselben Benutzers verhindern und so die Sicherheit im Shop verbessern.

Sperren Sie das Konto jeweils auf einen Standort

Sie sind Eigentümer eines Shopify-Shops, in dem Sie Autozubehör verkaufen.

Kunden aus aller Welt bestellen Produkte in Ihrem Shop, aber Sie können die Produkte nur in bestimmte Länder versenden. Da Ihre Versandmöglichkeiten auf bestimmte Länder beschränkt sind, möchten Sie verhindern, dass Benutzer aus nicht erreichbaren Standorten auf Ihren Shop zugreifen.

Standortbeschränkung

Mithilfe standortbasierter adaptiver Einschränkungen kann der Administrator die Liste der Länder auswählen, aus denen sich Endbenutzer nicht anmelden dürfen. Während des Anmeldevorgangs werden Geolokalisierung, IP-Adresse, Breiten- und Längengrad des Benutzers mit der vom Administrator ausgewählten Liste von Standorten abgeglichen. Auf dieser Grundlage kann der Zugriff auf Sitzungen im Shopify-Onlineshop gewährt oder verweigert werden.

Durch die Verwendung dieses Ansatzes für Onlineshop-Sitzungen kann Shopify eine strenge standortbasierte Zugriffskontrolle durchsetzen und die Einhaltung Ihrer Versandrichtlinien sicherstellen.

 

Beschränkt den Zugriff auf die Shopify-Onlineshop-Sitzung auf mehreren Geräten für ein einzelnes Konto

Angenommen, Sie besitzen einen Shopify-Shop, in dem Sie einen Streaming-Dienst anbieten, der den Endbenutzern auf Abonnementbasis eine große Auswahl an Fernsehsendungen, Filmen, Anime, Dokumentationen usw. anbietet. Ein Benutzer meldet sich im Shop an, kauft ein Abonnement und gibt seine Kontoanmeldeinformationen an einige seiner Freunde weiter, damit diese auf den Shop zugreifen können, ohne ein Abonnement zu kaufen. Sie müssen jedoch Maßnahmen gegen diesen Kunden ergreifen und ihn bitten, seine Anmeldeinformationen nicht an Freunde weiterzugeben, was eine anspruchsvolle Kundendienstaufgabe ist.

In diesem Szenario möchten Sie das Kundenkonto so einschränken, dass sich der Kunde von einem oder mehreren Geräten aus anmelden kann, je nachdem, welchen Plan er erworben hat. Sie möchten Kunden davon abhalten, ihre Konten gemeinsam zu nutzen, und mehrere Anmeldungen desselben Benutzers gleichzeitig verhindern, um auf den Inhalt zuzugreifen.

Gerätebeschränkung

Der Administrator kann den Endbenutzer auffordern, eine feste Anzahl vertrauenswürdiger Geräte hinzuzufügen, von denen aus er auf sein Konto zugreifen kann. Wenn der Endbenutzer versucht, sich vom vertrauenswürdigen/registrierten Gerät aus beim Shop anzumelden, wird ihm der Zugriff gewährt. Wenn er jedoch versucht, mit einem nicht registrierten Gerät eine Onlineshop-Sitzung zu starten, gewährt Shopify ihm keinen Zugriff.

Dies gewährleistet eine optimierte Verwaltung der Shopify-Benutzersitzungen und verhindert den Missbrauch gemeinsam genutzter Anmeldeinformationen.

 

Begrenzen Sie die Anzahl der Sitzungen/Käufe für einen einzelnen Kunden oder einen Haushalt

Stellen Sie sich ein Szenario vor, in dem Sie einen Shopify-Shop besitzen, um Markenprodukte wie T-Shirts, Hosen, Mützen usw. an Benutzer in jedem beliebigen Land zu verkaufen. Sie bieten beim ersten Einkauf eine kostenlose Lieferung an. Kunden aus einem einzigen Haushalt könnten jedoch versuchen, dies auszunutzen, indem sie mehrere Konten auf mehreren Geräten erstellen, um die Liefergebühren zu vermeiden.

Um dies zu verhindern, können Sie mit unserer App die Verbindungen zum Shop durch IP-Einschränkungen begrenzen. Wenn der Kunde mit demselben Netzwerk verbunden ist, ist die IP-Adresse für jedes Gerät in diesem Netzwerk dieselbe. Der Administrator kann Beschränken Sie den Zugriff des Benutzers auf den Store indem Sie diese IP-Adresse zur Liste der blockierten IPs hinzufügen.

IP-Einschränkung

Jeder Versuch, eine Verbindung zu Ihrem Shop herzustellen, wird blockiert, es sei denn, die Verbindung wurde von der neuen IP-Adresse aus initiiert. Unsere Zusatzfunktion „Zugriff über VPN blockieren“ hilft auch dabei, den Kundenzugriff einzuschränken, wenn diese ein VPN verwenden, um ihre IP-Adresse zu verschleiern und sich bei ihrem Konto anzumelden.

Eine effektive Verwaltung der Shopify-Benutzersitzungen und adaptive Authentifizierung können die Sicherheit und das Benutzererlebnis Ihres Shops erheblich verbessern. Von der Verhinderung mehrerer Anmeldungen bis hin zu Einschränkung des standortbasierten Zugriffs Bis hin zur Beschränkung der Geräteregistrierungen hilft Ihnen die Lösung von miniOrange dabei, sicherzustellen, dass die Sitzungen in Ihrem Shopify-Onlineshop sicher bleiben.

Profilbild des Autors

miniOrange

Autorin

Hinterlasse einen Kommentar

    Klicken Sie auf die Schaltfläche „Kontakt“.