+ Antworten
Ergebnis 1 bis 6 von 6

Thema: Wie sicher ist Joomla im Vergleich zu anderen CMS?

  1. #1
    Gute Seele des Boards Avatar von Orpheus2510
    Registriert seit
    18.10.2006
    Beiträge
    20.807
    Bedankte sich
    287
    Erhielt 4.976 Danksagungen
    in 4.514 Beiträgen

    Standard Wie sicher ist Joomla im Vergleich zu anderen CMS?

    Die Zeitschrift iX hat in ihrer neuen Ausgabe (12/2013) einen Vergleich von 5 CMS vorgestellt hinsichtlich deren Sicherheit/Angreifbarkeit. Dabei schneidet Joomla nicht gut ab - andere wie Plone oder Drupal liegen da deutlich vor Joomla. Allerdings werden die weitaus meisten Sicherheitslücken in Joomla durch Erweiterungen "eingeschleppt", wohingegen bei Plone die meisten bereits im Core mitgegeben sind. Nur bei Drupal sieht es noch besser aus als bei Joomla, denn fast alle Sicherheitslücken dort entstehen durch die Installation von Erweiterungen.

    Quelle
    BSI-Studie, auf der der Artikel aufbaut
    Geändert von Orpheus2510 (27.11.2013 um 09:00 Uhr)

  2. Erhielt Danksagungen von:


  3. #2
    War schon öfter hier
    Registriert seit
    06.03.2012
    Beiträge
    153
    Bedankte sich
    11
    Erhielt 35 Danksagungen
    in 32 Beiträgen

  4. #3
    Wohnt hier Avatar von rolip
    Registriert seit
    12.08.2010
    Ort
    localhost\htdocs\DA
    Beiträge
    2.615
    Bedankte sich
    462
    Erhielt 655 Danksagungen
    in 610 Beiträgen

    Standard

    Danke für die Information.
    Da alle CMS Schwachstellen haben, die durch die Erweiterungen noch vervielfältigt werden, sollte jeder Entwickler sich der Tatsache stellen, ständig Aktualisierungen durchzuführen und eine Backup-Strategie zu haben.
    Die Schwachstellen bekommt man als Anwender nicht weg - man kann aber die Auswirkungen so gering wie möglich halten.
    Gruß Rolf - eine Reaktion auf meinen Beitrag ist erwünscht !
    (siehe auch Freud (und Leid) mit Joomla bis 3.3.6)

  5. #4
    Verbringt hier viel Zeit
    Registriert seit
    24.04.2013
    Beiträge
    725
    Bedankte sich
    99
    Erhielt 498 Danksagungen
    in 256 Beiträgen

    Standard

    Zitat Zitat von Orpheus2510 Beitrag anzeigen
    Die Zeitschrift iX hat in ihrer neuen Ausgabe (12/2013) einen Vergleich von 5 CMS vorgestellt hinsichtlich deren Sicherheit/Angreifbarkeit. Dabei schneidet Joomla nicht gut ab - andere wie Plone oder Drupal liegen da deutlich vor Joomla. Allerdings werden die weitaus meisten Sicherheitslücken in Joomla durch Erweiterungen "eingeschleppt", wohingegen bei Plone die meisten bereits im Core mitgegeben sind. Nur bei Drupal sieht es noch besser aus als bei Joomla, denn fast alle Sicherheitslücken dort entstehen durch die Installation von Erweiterungen.
    Der Anteil der gemeldeten Schwachstellen liegt bei den CMS wie folgt (von wenig bis hoch)
    Plone - Drupal - Wordpress - Joomla - Typo3

    Siehe Grafik:
    eins.png


    Wie viele gemeldete Schwachstellen davon (prozentual gegenüber denen der Extensions) im Core sind, stellt sich wie folgt dar (Anzeige prozentual im Core von wenig bis hoch) wobei zu berücksichtigen ist, dass Plone standardmäßig jede Menge Erweiterungen integriert hat:
    Drupal 4%, Joomla 13%, Typo3 14%, Wordpress 20%, Plone 70%

    Siehe Grafik:
    zwei.png


    Oder siehe das PDF der BSI Seiten 65 / 66

    Eine Auswertung der für die CMS gemeldeten Schwachstellen im Zeitraum 2010-201280 zeigt die Verteilung der gemeldeten Schwachstellen auf verschiedene Angriffsvektoren (vgl. Abbildung).
    Einzelne Ergebnisse aus dieser Darstellung erklären sich schon aus der Architektur: das System Plone ist nicht anfällig gegen SQL-Injections, da schlicht keine SQL Datenbank verwendet wird.
    FAKT: Die Anteile der Code-Execution Schwachstellen – die schwerwiegendsten Fehler – sind bei Joomla! und TYPO3 recht hoch.
    Da dies PHP-Systeme sind, scheint der Vergleich zu Drupal und WordPress angemessen.

    Als Ergebnis kann festgestellt werden, dass XSS, Code Execution und SQL-Injection die drei häufigsten Schwachstellen darstellen.
    drei.png



    Die Studie behandelt die Jahre 2010 - 2012.
    Sagt also nicht wirklich etwas über die momentane Situation aus.

  6. #5
    Moderator Avatar von flotte
    Registriert seit
    20.03.2005
    Ort
    Neustadt
    Beiträge
    6.427
    Bedankte sich
    122
    Erhielt 1.889 Danksagungen
    in 1.480 Beiträgen

    Standard

    Man kann wohl ich dies sagen:
    ALLE Scripte haben immer wieder Sicherheitslücken!!

    Wichtig(er) sind folgende Fragen:
    * Wie schnell werden Sicherheitslücken geschlossen?
    * Wie einfach kann man erkennen ob ein benutztes Script unsicher/veraltet ist?
    * Wie einfach kann man die Scripte updaten?

    Ein Script wie Joomla, welches quasi eine unbegrenze Anzahl Erweiterungen ohne zentrale Freigabe/Prüfung zuläßt hat prinzipbedingt hier Nachteile im Vergleich. Das ist auch ein Grund warum man Erweiterungen sehr genau auswählen sollte und nicht alles was machbar ist in seine Seite einbauen sollte. Wenn man darauf achtet, regelmäßig prüft und eine gute Backup-Strategie fährt, kommt man mit Joomla wunderbar zurecht.

    PS: WordPress updated neuerdings vollautomatisch :-)

  7. #6
    Gehört zum Inventar Avatar von Helrunar
    Registriert seit
    05.03.2006
    Ort
    /home/helrunar/Webdev
    Beiträge
    8.599
    Bedankte sich
    957
    Erhielt 2.182 Danksagungen
    in 1.928 Beiträgen

    Standard

    Und nicht zu vergessen: Wie werden Schwachstellen kommuniziert?

    Bei Drupal und den Erweiterungen werden Schwachstellen erst dann nach Außen kommuniziert, wenn diese gefixt sind. So lange laufen die ganzen Prozesse zwischen Maintainer und Securityteam im Hintergrund ab. Reagiert der Maintainer nicht innerhalb einer vorgegebenen Zeit, so bekommt das Modul den entsprechenden Hinweis auf d.org und wird als unsicher markiert. Zudem darf der Maintainer selbst eine Lücke ebensowenig nach außen kommunizieren, so lange er sie nicht gefixt hat. Tut er es doch, so kann er seinen Status und seinen Entwicklerzugang auf d.org verlieren.

+ Antworten

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein