Thema: Auch andere CMSe haben mit Sicherheitslücken zu kämpfen

Wer gerne die höhere Sicherheit von anderen CMSen im Vergleich zu Joomla betont, muß momentan kleinere Brötchen backen: ausgerechnet das in Sachen Sicherheit vielgepriesene Typo3 wird derzeit eifrig gehackt über ein Leck. Verwundbar sind die Typo3-Versionen 4.5.0 bis 4.5.8 sowie 4.6.0 und 4.6.1 – allerdings nur, wenn die PHP-Einstellungen register_globals, allow_url_include und allow_url_fopen eingeschaltet sind. Moment: letztere Einstellung benötigt man doch auch für das automatische Update von Joomla? Richtig. Sollte deshalb die Einstellung mancher Provider, diese Option nicht zu aktivieren und so das automatische Update von Joomla zu unterbinden, doch nicht so verkehrt sein?

Guckst du.

Wer diese unsicheren PHP-Funktionen heute noch aktiv hat, hat die gleichen Schmerzen verdient, wie derjenige erleiden sollte, der den unsäglichen Updater bei Joomla verbrochen hat.

Gehört zwar nicht direkt zur Sache:

Es sind nicht nur die php-Einstellungen, nicht nur die Extensions, sondern auch der Druck bei den Agenturen - dem Kunden in dem Preiskampf gerecht zu werden.

Da wird oftmals das eingebaut was der Kunde haben will. (Open Source und "kostenlos") Der Kunde haftet im Endeffekt dafür. Dann, zum Schluss, wird ein Extension eingebaut um SQL-Injections etc. - alles, was in der URL dubios ist, abzufedern.

"Weniger ist manchmal mehr" – doch wer will das schon wissen?




LG Tina

Hi,

da ich gerade die Umstellung einer Website von Typo3 auf Joomla plane, habe ich auch zwei passende Links zum Thema Sicherheit zu bieten:
http://typo3.org/teams/security/secu...ns/typo3-core/
http://typo3.org/teams/security/secu...o3-extensions/

Ich sehe allerdings das größte Sicherheitsproblem (und würde auch für mich selbst niemals nie sagen!) nach wie vor beim Menschen. Wenn solche Informationen nicht beachtet werden, egal ob durch ein einmaliges Versehen oder durch permanente Ignoranz und egal bei welchem System, dann kann es halt rappeln.

Gruß

albatros

Zitat von tina_

sondern auch der Druck bei den Agenturen - dem Kunden in dem Preiskampf gerecht zu werden.

völlig am Thema vorbei und ich kenne auch keine Kunden, die einen zwingen schlampig zu arbeiten.

Zitat von tina_

Da wird oftmals das eingebaut was der Kunde haben will. (Open Source und "kostenlos") Der Kunde haftet im Endeffekt dafür.

Wie jetzt, setzt du Open Source mit "Unsicher" gleich??

Zitat von tina_

Da wird oftmals das eingebaut was der Kunde haben will. (Open Source und "kostenlos") Der Kunde haftet im Endeffekt dafür. Dann, zum Schluss, wird ein Extension eingebaut um SQL-Injections etc. - alles, was in der URL dubios ist, abzufedern.

"Weniger ist manchmal mehr" – doch wer will das schon wissen?

Vorweg: ich arbeite nicht professionell mit Joomla - aber Konkurrenzdruck hin oder her: den Kunden überzeugen mE Qualität und Sicherheit mehr als eine unter Zeitdruck notdürftig zusammengeflickte Seite, die immer und immer wieder verschlimmbessert werden muß, weil grundsätzliche Sicherheits- und Effizienzregeln mißachtet werden. Und um Kunden den Wert und die Relevanz einer sicheren und effizienten Seite nahezubringen, gibt es ein probates Mittel: Aufklärung. Einen Kunden sollte sehr wohl interessieren, welche Risiken er mit unter Druck erworbener Schlampigkeit bei der Erstellung der Seite eingeht, wie sehr er sich bisweilen der Gefahr von Datenklau und Angreifbarkeit aussetzt - und als Anbieter von Webdesign sollte mich interessieren, ob ich es verantworten kann, schlampige Arbeit abzuliefern, obwohl ich es besser könnte und auch wollte. Es mag vll. etwas blauäugig klingen, aber ein Kunde, der mich zu unsauberer und unzufriedener Arbeit nötigt und der sich nicht von meinen Vorstellungen einer sicheren Seite überzeugen läßt, wäre für mich verzichtbar. Wenn ich mit meinem Wunsch nach einem Internetauftritt schon zu einem Profi gehe, sollte ich als Kunde auch das Vertrauen in eine gewisse Kompetenz mitbringen (die man - leider Gottes, was etliche Beispiele hier im Forum ja beweisen -, nicht bei allen voraussetzen kann, die sich in diesem Feld tummeln). Da gilt es, die Spreu vom Weizen zu trennen - was mit einer gewissen Aufmerksamkeit in diesem Forum aber leistbar ist.
Diejenigen, die mit Joomla ihre Weihnachtskekse verdienen, mögen mich korrigieren, wenn ich da mit meiner Vorstellung daneben liege.

Aber nein, Arni... das hattest Du völlig falsch gedeutet.

Zitat von GN2 netwerk

völlig am Thema vorbei

lesen kann sehr hilfreich sein:

Zitat von tina_

Gehört zwar nicht direkt zur Sache

Das bedeutet übrigens Offtopic

Offtopic!

@ Orpheus2510: Ich sprach dabei von größeren Agenturen die aufwendige Seiten erstellen. So zu tun, als wüsste man genau was man da einbauen würde - als Stichwort Erweiterungen /Extensions, halte ich für falsch um nicht unwahr zu sagen. lol (Selten ist dies der Fall) Man hat nur gewisse Erfahrungen. Die Realität spricht da auch eine eindeutige Sprache. Sicher geht das auch anders. Bestimmt werden sich gleich noch einige melden wo es ganz anders ist.

Nur zu! lol



LG Tina

Zitat von tina_

@ Orpheus2510: Ich sprach dabei von größeren Agenturen die aufwendige Seiten erstellen. So zu tun, als wüsste man genau was man da einbauen würde - als Stichwort Erweiterungen /Extensions, halte ich für falsch um nicht unwahr zu sagen. lol

dann lol ich hier doch mal offtopic noch eine Runde mit, gerade größere Agenturen mit aufwendigen Seiten gehören eher selten zur joomlajobs&co-Klientel, deren Handwerk darin besteht, paar Extensions ungeprüft zu installieren und zur Krönung ein gekauftes Template zu installieren, unabhängig davon sehe ich auch keinen Preiskampf in der Branche, wenn man sich etwas vom low Budget Bereich wegbewegt und was das alles mit unsicheren Serverkonfigurationen zu tun hat, ist natürlich nach wie vor ein ungeklärtes Rätsel.