Thema: RSS Feed erzeugen?

Zitat von gizycki

Sorry, aber ich halte das für wichtigtuerische Angstmacherei und für Unsinn.
Sofern das System keine neuen User zulässt, das Einreichen neuer Beiträge nicht erlaubt ist und auch sonst keine Formulardaten verarbeitet werden, gibt es keine offenen Schnittstellen, für "Viren" und "Würmer", etc.

Genau da liegt ja das Problem. Joomla ist ein komplexes System und wenn dann irgendwo ein Fehler versteckt ist, kann es sein, dass irgend ein Formular verwendet werden kann. Es ist übrigens nicht relevant, ob das Formular angezeigt werden kann, sondern ob die Routine, die das Formular verarbeiten soll aufrufbar ist.

Ich werde mir ein eigenes Script schreiebn, um für die Kalenderkomponente extCal und DocMan einen RSS-Feed unter joomla! 1.0 anbieten zu können.

Wer sich dafür interessiert, kann sich gern bei mir melden. EInfach auf diesen Beitrag antworten ...

Das Problem ist, dass die alte Version nachweislich Löcher hat. Die können dann auch dazu genutzt werden, dass dein Server als "Spamschleuder" oder "Schleuse zu schadhaften Programmen" benutzt werden kann.
Ein Hack also für dich vielleicht gar nicht so einfach bemerkbar zunächst.

Es geht ja nicht so sehr darum, dass jemand dann auf deiner Startseite irgendwas einblendet "Gahackt von der xyz-Gang". Das ist für mich eher Kinderkram. Die Hackerprofis sind da ggeschickter.

Ein Problem: Wenn dir das passiert, kann es passieren, dass der ganze Server lahm gelegt wird, auf dem deine Website läuft. Ist auf dem Server ein Kunde mit einem Onlineshop, der dadurch echten Verdienstausfall hat und verklagt den Hoster, wird dieser, wenn er feststellt, dass der Angriff wegen einem restlos veralteten System passiert ist, dich auf Schadensersatz verklagen - und das würde ich nicht auf die leichte Schulter nehmen. Du bist nämlich tatsächlich für deine Website verantwortlich.

Oder deine Domain wird als "Schleuse" benutzt. Interessant dazu dieser Artikel auf T-Online. Zwar schon etwas älter, aber dein Joomla ist ja auch schon etwas betagter:
http://computer.t-online.de/hacker-a...20631566/index

Wie gesagt: deine Version hat nachweislich Sicherheitslücken. Und du wärst nicht der erste, der plötzlich hier schreibt: "Hilfe, ich wurde gehackt".

Aber es kann auch gut gehen. Ich selber habe eine uralte Mambo-Installation erst mit den Anfängen der 1.5er Version migriert.
Frage mich aber besser nicht, was mir mein Hoster gesagt hat, als er das mitbekam!



Axel

Zitat von time4mambo

Bei allem was ihr tut, bedenkt bitte folgendes:
Das was ihr mit der alten Joomlaversion macht, wäre in etwa gleichzusetzen mit folgenden Szenarium:
Der PC fährt ein Windows 95 mit einem Browser in der Größenordnung vom IE 5. Dazu gibt es keinerlei Antivirenprogramme oder anderer Schutzmaßnahmen. Eine Firewall existiert natürlich auch nicht.

Welch eine Beschreibung Das ist wohl sehr an den Haaren herbeigezogen...
(oder meinst du anstatt J!1.x doch eher eines der ersten Mambo-Konstrukte?)

Naja, es ist der Versuch das mal mit einem Bild, das viele nachvollziehen können zu erklären. Das Szenarium legt keinerlei Wert auf Vollständigkeit oder exakten Vergleich. Aber da in diesem Thread (und auch in vielen andren) die alten Versionen als harmlos im Sicherheitsaspekt abgesehen werden, kann es ja nicht schaden, ein etwas drastisches Bild zu bemühen, um die Gefährlichkeit dieser Einstellung deutlich zu machen.

Mehr ist das nicht. Man kann das nun aber natürlich auch auseinander nehmen und du hast Recht. Oder auch nicht. Je nach Betrachtungsweise und Kontext


Axel

Bitte erklär mir, welche Sicherheitslücke es in einer joomla! 1.0 Installation OHNE FRONTEND-LOGIN, OHNE FORMULARE (außer Suchformular) und OHNE KOMPONENTEN gibt. Ich kenne jedenfalls keine!?!

Ohne Formulare und ohne Komponenten funktioniert Joomla gar nicht. Überall wo du was eingibst, benutzt du dafür ein Formular. Überall, wo etwas ausgegeben wird und nicht "Modul" heißt, hast du eine Komponente. Der "einfache" Beitrag ist beispielsweise eine Komponente, dessen Inhalt über ein Formular eingegeben wird.
"Angriffsstellen" bedeutet nicht, dass nur Dinge benutzt werden, wo andere User ganz normal was reinschreiben können.

Hier eine konkrete: http://www.joomlaportal.de/installat...ml#post1118524


Axel

Die ist ganz frisch gerade aufgetaucht: http://www.joomlaportal.de/sicherhei...erability.html

Das Problem bei den Informationen zu Sicherheitslücken ist, dass es die 1.0 faktisch nicht mehr gibt. Also nicht mehr supportet wird. Deswegen findest du auch kaum Hinweise dazu.



Axel