Lightspeed eCom Security Update

Als winkelier verzamel je veel data via jouw shop, wat natuurlijk geweldig is! Maar het kan nog beter: via een application programming interface (API) kun je externe partijen ook toegang geven tot jouw data, zodat zij je kunnen helpen bij het runnen en verder uitbreiden van jouw webwinkel.

Omdat de hoeveelheid data alsmaar toeneemt en Lightspeed binnenkort actief zal zijn in een wereldwijde omgeving, willen we er zeker van zijn dat deze data beveiligd zijn vanuit end-to-end perspectief. Om aan de allerhoogste webstandaarden te blijven voldoen, voeren we daarom enkele aanpassingen door in onze service. Zo waarborgen we de veiligheid en verbeteren we ons platform nog verder. Lees deze blogpost daarom zorgvuldig door.

Als je een winkelier bent, gebruik je wellicht onze API, alle koppelingen op jouw website worden nu nog veiliger dan ze al waren. Als je een partner bent, kunnen deze veranderingen effect hebben op de manier waarop jouw apps functioneren of op hun interactie met de internet-etalages van winkeliers. Ook heeft het consequenties voor bestaande themes, of voor het toestaan van nieuwe themes.

Ben je een partner van SEOshop (nu Lightspeed)? Lees dan hier verder:

Van HTTP naar HTTPS

Voor apps en custom API’s

Externe content

Met ingang van 16 maart 2016 zullen we geen externe content meer accepteren die over een HTTP-verbinding wordt verstuurd via een API, of die een HTTP-verbinding bevat. Dit heeft met name gevolgen voor de volgende endpoints van de API: shopScript en hallmark images. Voortaan accepteren we alleen nog maar beveiligde HTTPS-verbindingen.

Webhooks

Met ingang van 30 maart zullen we geen onveilige webhooks meer accepteren. Alleen webhook endpoints met een beveiligde verbinding (HTTPS) worden dan geaccepteerd. Op 16 april verwijderen we alle nog aanwezige onveilige webhooks van het platform. We raden je ten strengste aan om alle bestaande webhooks van tevoren te updaten.

Voor themes of custom designs

Sinds afgelopen december (2015) is het niet langer toegestaan om hardcoded URL’s in jouw themes te gebruiken. Gebruik desnoods schemeless URL’s indien het gebruik van een hardcoded URL in de Template Editor onvermijdelijk is.

Afschaffen van TLS 1.0

Gedurende de afgelopen maanden hebben diverse beveiligingskwesties met bestaande SSL-certificaten en Operating Systems de kop opgestoken. Dit heeft tot gevolg dat wij TLS 1.0 niet meer zullen ondersteunen, zodat wij zowel onze klanten als hun klanten kunnen beschermen tegen kwetsbaarheden in de beveiliging binnen het transportprotocol.

Wij bevelen aan om bestaande OpenSSL libraries te updaten naar V1.0.1 (oorspronkelijke releasedatum 14 maart 2012) en hoger, en NSS v3.14 en hoger (oorspronkelijke releasedatum 2012). Let er bovendien op dat operating systems en libraries wellicht een recentere TLS-versie (1.1 en 1.2) nodig hebben, en dat deze wellicht expliciet moeten worden geactiveerd. Zorg er bovendien ook voor dat je de meest recente versie van API Client gebruikt in jouw omgeving.

Met ingang van 31 mei zullen wij TLS 1.0 niet meer ondersteunen.

Update API: voeg Cluster ID toe om verkopers uit Noord-Amerika of Europa te identificeren

Het Lightspeed eCom platform wordt nu gehost op meerdere clusters, om zo snelheid en de allerhoogste veiligheid te blijven garanderen in een wereldwijde en hyperlokale omgeving. Om met een specifiek cluster te communiceren, moet je eerst identificeren op welk cluster de shop wordt gehost. De success URL zal een parameter bevatten die identificeert op welk cluster de shop wordt gehost: cluster_id. Momenteel zijn de volgende clusters in gebruik: us1 en eu1.

Meer informatie over de database-clusters vind je in onze documentatie voor developers:

Belangrijke Data

  • 16 maart 2016 – We accepteren geen onveilige externe content meer die over een HTTP-verbinding wordt verstuurd via een API.
  • 30 maart 2016 – We accepteren geen onveilige webhooks meer.
  • 16 april 2016 – Alle onveilige webhooks worden van het platform verwijderd.
  • 31 mei 2016 – TLS 1.0 wordt niet meer ondersteund.

Mocht je nog vragen hebben, stuur dan een e-mail naar: support@seoshop.com

Jolien Huizinga

Jolien Huizinga

Marketing Content Specialist bij Lightspeed. Schrijft o.a. blogposts en whitepapers om zelfstandige ondernemers te inspireren en op de hoogte te houden van trends & nieuws op gebied van e-commerce, horeca en retail.