Thema: Kann es einen ZWINGENDEN Grund geben, auf Joomla 2.5 oder höher zu wechseln?

Eine Sicherheitslücke, die ab Mai dieses Jahres in 1.5 gefunden wird.

Zitat von ach-ja

...Übersehe ich dabei vielleicht irgendeinen anderen Grund, der mich (irgendwann) ZWINGEN könnte, Joomla 1.5-Seiten vom Netz zu nehmen?...

Spätestens wenn es auf der aktuellen PHP-Version nicht mehr läuft. Das passiert heute schon bei einigen Joomla 1.0 Webseiten, wo der Hoster ohne zu fragen auf PHP5.3 updatet. Die Webseiten laufen dann nicht mehr richtig, von der Erweiterungen mal ganz abgesehen..

Zitat von ach-ja

(Hackerschutz: Admintools, Adminexile, RSFirewall etc.)

Diese Tools laufen innerhalb des Systems, das sie beschützen sollen.
Hat die selbe Schutzwirkung wie ein Feuerlöscher im Haus. Der kommt erst zum Einsatz, wenn es schon brennt. Vorbeugender Brandschutz ist damit nicht zu erreichen.

Zu Deutsch: Der Kunde müsste die komplette Installation noch mal bezahlen.

Antwort auf Deutsch: Extrawürschde kosten extra!

Aber nur mit thüringer Senf.

Hi keraM,

das ist m. E. nicht ganz zutreffend

Die Akeeba Admintools sorgen vorbeugend für deutlich erschwertes Eindringen, weil sie wichtige (weltweit bekannte) Joomla-Standards verändern - so wie ich es ihnen vorgebe.

Adminexile führt so herrlich in die Irre. (Manchmal sogar mich selbst ...)

Und auf RSFirewall schwöre ich absolut. Das Ding hat mich bereits bei zwei verschiedenen Webseiten in Echtzeit über massive Hacking-Versuche (Brute-Force) informiert - und gleichzeitig diese Versuche abprallen lassen. Was will man mehr? In meinem lokalen PC schwöre ich dementsprechend auf Norton Internet Security).

Ich gehe davon aus, dass die Summe dieser Eingriffe (durch die Securitytools) ein entsprechendes Gegengewicht zu noch zu entdeckenden Sicherheitslücken darstellt - und die Waage im Gleichgewicht hält.

Natürlich gibt es gegen hinreichend kriminelle Energie, ausreichend aggressive Ressourcen, Manpower und technisches Hintergrundwissen (also gern bei staatlichen Organisationen, die mehr oder weniger geheim operieren) KEINERLEI Schutz. Wenn ich WILL und KANN, dann komme ich durch! Aber das gilt auch für Joomla 2.5.x und für alles was danach kommt.

Es ist bisher noch nicht gelungen, sich ultimativ gegen böswillige Angreifer zu schützen. Es gibt nur ein gegenseitiges "Wettrüsten".

Gruß forensis

Ja, Indigo!

Danke für diesen Hinweis. Genau das macht mir tatsächlich die größten Sorgen!

Ich hoffe, es wird noch lange, lange Provider geben, die auf Kundenwunsch es möglich machen, nicht höher als bis zu einer bestimmten PHP-Version zu gehen. So wie jetzt z. B. bei www.candan.de. Die haben gerade auf 5.3.8 hochgezogen, bieten Kunden aber die Möglichkeit auf einer niedrigeren Version zu bleiben.

Und schlimmstenfalls ist das Umsteigen auf einen dedizierten Server (bei dem ich PHP-mäßig alles nach eigenem Belieben einsetzen kann) für einen Kunden immer noch günstiger als nochmal 200 bis 400 Mannstunden in eine hochkomplexe Webseite zu investieren.

Natürlich darf man da nicht bei einem dieser "großen" Provider sein, die sooo groß sind, dass SIE den Kunden vorschreiben, was die Kunden zu tun haben und was nicht. Gott sei Dank gibt es aber auch etliche kleine Provider, die keine so restriktive Politik drauf haben - und nebenbei meistens auch noch um ein Vielfaches weniger laufende Kosten verursachen.

Gruß forensis

Willst du eines der neuen Features von J2.5 haben, brauchst du J2.5. Beispiel: ACL. Es sei denn, du magst es umständlich und kompliziert. Dann kannst du das in J1.5 weiterhin mit GMAccess oder NoixACL realisieren. Aber bedenke: jede Erweiterung ist auch ein potentieller Unsicherheitsfaktor.