Thema: Die zehn dümmsten Joomla! Administrator Tricks

Schade, dass aus dem Thread wieder ein auf dieses Forum bezogener Suchfunktionsthread geworden ist.

Zitat von flotte

Nein, ich wollte mit meinem letzten Statement AUCH darauf hinweisen, das die ganze Situation um Joomla aus Usersicht nicht unkompliziert ist - und dafür kann der User nichts (wie oben geschildert). Die weitaus meisten Fragen und Sicherheitsprobleme resultieren aus genau diesem Manko und nicht aus der "Dummheit" der User.

Bestreitet ja auch keiner, dass die ganze Materie, die an einer Webanwendung wie Joomla dranhängt unkompliziert wäre.
Autos finde ich als Vergleiche immer toll: Ich stell mir einen Anfänger genauso vor, wie wenn ich jetzt mein Auto reparieren müßte. Ich würde zwar noch die Motorhaube aufbekommen, aber dann wäre auch Schluss. Klar könnte ich mit einem Selfmade-Repair-Buch den Ölfilter gewechselt bekommen, aber um das Fahrwerk einzustellen reicht es nicht. Da bräuchte ich dann doch das Wissen darüber, was ich da mache und auch das notwendige Werkzeug dazu.

Und genauso sehe ich die Situation von Joomla: die Rechte von Dateien und Verzeichnissen bekommt der Anfänger durch solch ein Forum noch gesetzt. Wenn es aber darum geht, Serverkonfigurationen anzupassen, sollte man doch lieber wissen, was man da tut. Wenn ich schon durch dieses Forum beobachten kann, dass man bei manchen Hostern über die htaccess gewisse PHP-Parameter überschreiben kann oder sogar manche Hoster auf Anfrage den Safemode abschalten, überkommt mir das kalte Grausen.
Klar kann man auch hier argumentieren, dass die Hoster dran schuld sind und den User hätten bevormunden sollen. Aber hey: die wollen auch nur Geld verdienen.
Nicht dass ich diese Hoster damit in Schutz nehmen wolle, aber ich nehme auch nicht die User, die genau diese Flags dann setzen, in Schutz. Sehr vielen (nicht allen!) Anfängern geht es nur darum diese oder jene Komponente zum Laufen zu bekommen. Egal, ob dann der Safemode deaktiviert wurde oder die Rechte auf 777 gestellt wurden. Wenn es dann läuft, wird nicht darüber nachgedacht, was es für Auswirkungen hat.

Diese Auswirkungen konnte man schön im Sommer beobachten, als die Scriptkiddie-Cracking-Welle über Joomla und deren 3rd-Party-Komponenten schwappte. Die Angriffsmethode war lächerlich einfach. Und warum? Weil Joomla und auch gewisse Komponenten lächerlich einfach zu cracken war. Das hat sich nun gottseidank ein wenig geändert, aber so richtig gelernt hat man auch nicht daraus. Joomla läßt sich immer noch auf Webspace betreiben, auf dem register_globals aktiv ist. Zwar wird eine Warnmeldung im Backend ausgegeben, aber wenn die mich nervt, kann ich sie auch ausknippsen.

Man kann dem "gemeinen" User auch keinen Vorwurf machen, es wird ihm ja einfach gemacht. Und hier finde, müßte man ansetzen, wenn man Joomla sicherer machen möchte. Man kann dem User über eine Doku nicht an die Hand nehmen und ihm Schritt für Schritt erklären, wie er welches Flag zu setzen hat. Dafür ist die Vielzahl an Konfigurationen (Webspace, vServer, Rootserver, ModulPHP, CGIPHP usw.) zu überwältigend.
Aber wenn man die Funktionalität von Joomla in unsicheren Konfigurationen einschränken, den User darauf hinweisen würde und ihm aber gleichzeitig Dokus in die Hand gibt, um den Missstand zu beheben, könnte man einiges erreichen. Klar ist mir auch, dass dann einige User Abstand von Joomla nehmen würden, aber solche Auswirkungen muss man einfach in Kauf nehmen.

CU
Stephan

Zitat von KaffDaddy

Schade, dass aus dem Thread wieder ein auf dieses Forum bezogener Suchfunktionsthread geworden ist.

Das konnte bei dem Thema nicht ausbleiben, und auch mit deinen Wünschen steuerst du schon wieder in diese Richtung:

den User darauf hinweisen würde und ihm aber gleichzeitig Dokus in die Hand gibt, um den Missstand zu beheben,

Du setzt Informationsfähigkeit und -willigkeit voraus, die in vielen Fällen einfach nicht gegeben ist. Und auch den Willen zum Benutzen einer Suchfunktion, denn eine umfassende Dokumentation zu diesem Thema kann Joomla selbst unmöglich leisten.

Autos finde ich als Vergleiche immer toll:

Ich auch. Jetzt ist es zwar noch nicht so weit, aber in ein paar Wochen ist der Winter sicher da. Versuch dann mal, einen den Umständen angemessenen Mietwagen zu bekommen. Vereinzelte Vermieter (aber wirklich nur Ausnahmen) werden dir Winterreifen gegen Aufpreis ans Herz legen. Bei den allermeisten sind Winterreifen auch nicht gegen Aufpreis zu bekommen, und Schneeketten für den Notfall erst recht nicht. Und keiner wird dir das Auto komplett verweigern, weil schon die Straße vor der Ausfahrt der Vermietung spiegelglatt ist und es einfach Wahnsinn ist, mit dieser Ausrüstung auch nur einen einzigen Meter zu fahren.

Klar kann man auch hier argumentieren, dass die Hoster dran schuld sind und den User hätten bevormunden sollen. Aber hey: die wollen auch nur Geld verdienen.

Trotzdem sind die Hoster die Profis, die wissen müssen, welche Konsequenzen ihre Umgebung haben kann. Und an sich sollten sie wie andere Dienstleistungsanbieter auch eine Sorgfaltspflicht gegenüber ihren Kunden haben. Wenn dich dein Werkstattleiter mit blankgefahrenen Reifen oder defekten Bremsen vom Hof fahren läßt, ist er in der Haftung. Wie sich die Rechtslage bei Mietwagen auf Schnee und Eis entwickelt, dürften wir im Anschluß an diesen Winter erfahren (Ich vermute stark, daß fehlende Winterausrüstung als Mangel an der Mietsache angesehen wird und den Mieter von der Selbstbeteiligung im Schadensfall befreit). Und genau so sollten Hoster in die Pflicht genommen werden, wenn sie wissentlich unsichere Umgebungen schaffen, um dem Kunden einen "Gefallen" zu tun.

Joomla läßt sich immer noch auf Webspace betreiben, auf dem register_globals aktiv ist. Zwar wird eine Warnmeldung im Backend ausgegeben, aber wenn die mich nervt, kann ich sie auch ausknippsen.

Noch einmal: Aus welchem Grund sollte Joomla dabei den Betrieb verweigern, wenn im Core selbst dadurch keine Sicherheitslücke entsteht? Nur weil der User die Möglichkeit hat, Extensions zu installieren, die dann eine Lücke aufreißen?

Aber wenn man die Funktionalität von Joomla in unsicheren Konfigurationen einschränken, den User darauf hinweisen würde

... dann gäbe es Tools, die diese Einschränkung umgehen würden, entweder, indem sie Joomla eine andere Umgebung vorgaukeln oder die entsprechenden Stellen im Core einfach patchen.

Klar ist mir auch, dass dann einige User Abstand von Joomla nehmen würden, aber solche Auswirkungen muss man einfach in Kauf nehmen.

Mein Eindruck bei joomla.org: Genau das ist nicht erwünscht. Auch der letzte Depp soll Joomla in der ungünstigsten Umgebung zum Laufen bekommen (siehe FTP-Funktionen in der 1.5, damit Joomla auch safe mode fähig wird).

Und solange das Core Team es schafft, Joomla selbst so dicht zu halten, daß es auch in solchen Umgebungen nicht angreifbar ist, kann es immer wieder seine Hände in Unschuld waschen: Die Lücken stecken in den Extensions, und die kommen ja von den zu wenig sorgfältigen Drittanbietern.

Zitat von DietmarH

Du setzt Informationsfähigkeit und -willigkeit voraus, die in vielen Fällen einfach nicht gegeben ist. Und auch den Willen zum Benutzen einer Suchfunktion, denn eine umfassende Dokumentation zu diesem Thema kann Joomla selbst unmöglich leisten.

Das mit der Doku habe ich ja genauso beschrieben. Und einen gewissen Willen sich mit der Materie auseinandersetzen, setze ich auf jeden Fall voraus. Wenn man kochen möchte, muss man sich vorher mit beschäftigen, wenn man Schach spielen möchte, muss man es vorher lernen. Warum gilt dieses "Gesetz" nur nicht im Internet?

Der Rest bezieht sich auf Dein restliches Posting (hab grad keine Lust auf nen Fullquote, der Lesbarkeit halber): Du sprichst eigentlich genau den Kern der Geschichte an: die Haltung des Coreteams dem Sachverhalt gegenüber. Besonders im deutschsprachigen Raum soll so wunderschön vermittelt werden, dass Joomla ein professionelles Tool zur Pflege von Webseiten ist. Nur reicht es in meinen Augen nicht, dass kleine Internetagenturen anfangen Joomla als CMS ihren Kunden zu verkaufen, wenn allgemein der Eindruck entsteht, dass Joomla unsicher ist (als Nachwirkung der Crackingwelle vom Sommer und da interessiert es keinen, ob diese durch Extensions ermöglicht wurde) und die größte Verbreitung als Spielsystem für Hobbyseiten hat.
Damit möchte ich jetzt keinen persönlich angreifen, nur bringt mir ein sicheres Coresystem überhaupt nichts, wenn ich damit nur Texte einstellen kann. Webseiten zeichnen sich mittlerweile durch eine Fülle von Funktionen aus und diese muss ich entweder selber integrieren oder bediene mich anhand der Vielzahl von frei zur Verfügung stehenden Extensions.
Und warum sollte das Coresystem nicht die Arbeit verweigern, wenn es merkt, dass es durch die Verwendung einer Extension gefährdet wird? Einen deutlicheren Hinweis kann der Admin dieser Seite gar nicht bekommen. Und wer das System im Nachinein verändert, um diese Einschränkung zu übergehen, der hat halt Pech gehabt.

Aber wenn man nur dahinter ist, so viele Installationen seines CMS wie möglich zu bekommen und die Sicherheit vernachlässigt, dann sollte man sich über das Ergebnis nicht lustig machen dürfen (Siehe den Anfangspost dieses Threads).

CU
Stephan

Naja, es sind ja nicht alle Extensions unsicher. Dieser Eindruck entsteht schnell wenn immer wieder behaupt wird, das "mal wieder" diese schlammpigen Extensions an allem Schuld wären... Auch der Corebereich wurde immerhin schon 12 mal innerhalb einer kurze Zeit geupdated.
Die Extensions kann man auch nicht alle über denselben Kamm scheren. Es ist durchaus möglich eine komplexe Website mit vielen Funktionen in Joomla und ausgewählten Extensions zu realisieren.

Zitat von KaffDaddy

Wenn man kochen möchte, muss man sich vorher mit beschäftigen, wenn man Schach spielen möchte, muss man es vorher lernen. Warum gilt dieses "Gesetz" nur nicht im Internet?

"Ich will nicht extra kochen lernen. Ich will ein fertiges Rezept mit exakten Mengenangaben, Temperaturen, Garzeiten und Serviervorschlägen."
Schach ist ein unpassendes Beispiel. Schach setzt den Willen zum Denken per se voraus.

Du sprichst eigentlich genau den Kern der Geschichte an: die Haltung des Coreteams dem Sachverhalt gegenüber. Besonders im deutschsprachigen Raum soll so wunderschön vermittelt werden, dass Joomla ein professionelles Tool zur Pflege von Webseiten ist.

Ich kann da auch beim "Hersteller" selbst keinen großen Unterschied sehen. Herausgestellt werden die Fähigkeiten und Mindestsystemvoraussetzungen. Eine Beschreibung einer idealen und vor allem sicheren Umgebung muß man sich in versteckten Ecken selbst zusammenkratzen.

Und warum sollte das Coresystem nicht die Arbeit verweigern, wenn es merkt, dass es durch die Verwendung einer Extension gefährdet wird?

Dazu müßte eine Liste unsicherer Extensions geführt werden, die Joomla selbst bei der Installation abruft. Oder wie soll sonst festgestellt werden, ob eine Installation durch eine bestimmte Erweiterung gefährdet wird? Was ist mit lokalen und Intranet-Installationen, bei denen ganz bewußt gewisse Unsicherheiten in Kauf genommen werden, weil der Kreis der Nutzer überschaubar und greifbar ist?
Es müßte auf jeden Fall einen Haken "Pfeif drauf" geben, und dieser Haken würde den Versuch einer Sperre ad absurdum führen.

Einen deutlicheren Hinweis kann der Admin dieser Seite gar nicht bekommen. Und wer das System im Nachinein verändert, um diese Einschränkung zu übergehen, der hat halt Pech gehabt.

Den "Erfolg" solcher Hinweise habe ich weiter oben schon in Bezug auf die Sicherheitswarnungen beschrieben. Und wenn diese Seite dann gehackt wird, interessiert sich keiner für diesen Haken. Joomla wurde gehackt und hat sich "mal wieder" als unsicher erwiesen, genau so, wie es sich jetzt mit den Extensions verhält.

Aber wenn man nur dahinter ist, so viele Installationen seines CMS wie möglich zu bekommen und die Sicherheit vernachlässigt, dann sollte man sich über das Ergebnis nicht lustig machen dürfen (Siehe den Anfangspost dieses Threads).

Man sollte von sich aus besser informieren, z.B. die Sicherheitswarnungen nicht einfach nur fett und rot auf die Seite klatschen, sondern direkt mit einer umfassenden Erklärung mit Links zu einer Erklärung in der Usersprache und tiefergehenden Links verlinken. Aber den Admin zwingen, diesen Links zu folgen, sie zu verstehen und zu beherzigen kann niemand.
Auch Links beim Pre Check zu entsprechenden Kommentaren wären wünschenswert. Aber obwohl es auch jetzt schon reicht, bei Unklarheiten einfach den angegebenen Begriff einer beliebigen Suchmaschine vorzuwerfen, werden die Warnungen ignoriert oder nicht hinterfragt. Daran würden vermutlich auch klickbare Links wenig ändern.

Hallo, Joomlaner,

ein sehr schönes Thema bei dem man als "NOOB" oder "BLINDER" hin und hergerissen wird.
Ich würde gerne viele eurer gemachten Aussagen zitieren und aus meiner Sicht beantworten. Dazu fehlt mir leider die Zeit bzw. die Zeichen die in einem Post verwendet werden dürfen.

Ich bin von Beruf Zahntechniker und beschäftige mich mindestens 8 Stunden pro Tag mit Lateral und Protrusionsbewegungen bei der Erstellung von geschichteten Vollkeramischen Teil- Vollkronen, bis hin zur Aufbissschiene usw. sicherlich für euch alles Dinge die ihr nicht könnt.

In meiner Freizeit ist mein grosses Hobby "Indoorcycling", um bei der Ausrichtung von Events eine grössere Community anzusprechen, bin ich auf die Idee gekommen "Eine Website zu erstellen" mein erster Versuch sieht so aus www.aix-bike.de (Frontpage). Nur war das nix besonderes und nix schönes. Irgendwie fehlen mir doch die Kenntnisse (kein html, kein php usw.).

Aber man hat ja INternet und kann ein wenig googeln!!! Die Lösung!!! Contentmanagment!!!
Software gekauft von Data Becker "Web to Date 4 " 149,00€ (Nicht schreien, ich wusste es nicht besser) Ergebnis könnt ihr hier sehen.

Immer noch unzufrieden!!!!! Also Googeln!!!!! Habe über E107, Typo3, Phpnuke Joomla gefunden. Beschäftige mich jetzt schon seit Anfang des Jahres damit, bin kurz vor der Veröffentlichung der Seite, ok ihr dürft schonmal schauen (ist aber noch nicht fertig) hier. Ist auch noch nicht offiziell ONLINE.

Ohne dieses Forum hätte ich es niemals geschafft, weil es hier wirklich viel Informationen gibt. Es gibt hier Menschen die ihre Freizeit opfern und uns "BLINDEN" das sehen erklären.

Leider gibt es hier auch die arroganten, hochnäsigen Supertypen die ihre erste PHP Programmierung schon mit drei Jahren erledigt haben. Die Serveradministration als Beruf erlernt haben. Ich weiss was eine Lateral und Protrussionsbewegung ist, aber verdammt nochmal lacht nicht über die "NOOBS" die nicht wissen wie man einen Apacheserver konfiguriert.

Wenn ich mit meiner Seite Geld verdienen würde, wäre ich sofort bereit einen dieser Supertypen dafür zu bezahlen mir etwas Gewinnbringendes zu erstellen. Aber es ist eine Freizeitbeschäftigung die nur ein wenig Geld einbringen soll um damit wieder anderen Menschen zuhelfen, deshalb gibt es auf meiner neuen Seite auch jetzt Werbung.

Mit diesem Post will ich eigentlich nur zwei Dinge erreichen!!!

1. Bedanken bei den vielen Helfern hier im Forum
2. Den Supertypen erklären das sie wahrscheinlich auch nur gut auf ihrem Gebiet sind und keine Ahnung von Lateral und Protrussionsbewegung haben[/LIST]

Zitat von Ein Aachener

Leider gibt es hier auch die arroganten, hochnäsigen Supertypen die ihre erste PHP Programmierung schon mit drei Jahren erledigt haben. Die Serveradministration als Beruf erlernt haben. Ich weiss was eine Lateral und Protrussionsbewegung ist, aber verdammt nochmal lacht nicht über die "NOOBS" die nicht wissen wie man einen Apacheserver konfiguriert.

Doch. Sie haben es nicht besser verdient, genau so, wie du allen Grund hättest, über mich zu lachen, wenn ich mich auf einmal mit meinem jetzigen Kenntnisstand mit Lateral- und Protrusionsbewegungen zu befassen.
Das sind Sachen, die man entweder Profis überläßt, die es gelernt haben, oder für sich allein im stillen Kämmerlein übt, wo man niemandem damit weh tun kann.

Wenn ich mit meiner Seite Geld verdienen würde, wäre ich sofort bereit einen dieser Supertypen dafür zu bezahlen mir etwas Gewinnbringendes zu erstellen. Aber es ist eine Freizeitbeschäftigung die nur ein wenig Geld einbringen soll um damit wieder anderen Menschen zuhelfen, deshalb gibt es auf meiner neuen Seite auch jetzt Werbung.

Wenn du damit leben kannst, daß deine Seite gehackt wird und neu gemacht werden muß, ist es genau so wenig ein Problem wie wenn dein selbst gebasteltes Regal im Keller von der Wand fällt. Aber genau so wenig wie du beim Regal den Baumarkt dafür verantworlich machen kannst, kannst du bei Joomla die Programmierer dafür verantwortlich machen, daß dir das nötige Wissen fehlt.

2. Den Supertypen erklären das sie wahrscheinlich auch nur gut auf ihrem Gebiet sind und keine Ahnung von Lateral und Protrussionsbewegung haben

Und? Was lernen wir daraus? Wer keine Ahnung hat, muß entweder mit seinen Mängeln und Risiken leben oder die Finger von der Sache lassen. Oder wie würdest du es finden, wenn ich mir einen Eimer Spachtelmasse kaufen würde und anfangen, den Leuten an den Zähnen rumzubasteln?

Vielen Dank "Ein Aachener"
Das ist mal ein schönes Feedback eines Users, der hier Hilfe findet. Ich bin sicher, davon gibt es viele!
Wie schon geschildert, bekommt man aufgrund der stetigen neuen Fragen weiterer User nicht das Gefühl das die Hilfen "durchgreifenden" Erfolg haben und reagiert dann frustiert. Hier also mal Feedback. Danke!

Meines Erachtens sollten die Fachleute-Diskussionen eventuell besser in einem eigenen Bereich geführt werden. Anstatt der ewigen "wer ist Schuld-Fragen" und "Typo3 vs. Joomla-Diskusionen" mal einen Profibereich mit dem Anpruch Verbessungsvorschläge zu formulieren. Mal schauen, ob die "Profies" dann immer noch so präsent sind.

Zitat von DietmarH

Doch. Sie haben es nicht besser verdient, genau so, wie du allen Grund hättest, über mich zu lachen, wenn ich mich auf einmal mit meinem jetzigen Kenntnisstand mit Lateral- und Protrusionsbewegungen zu befassen.
Das sind Sachen, die man entweder Profis überläßt, die es gelernt haben, oder für sich allein im stillen Kämmerlein übt, wo man niemandem damit weh tun kann.

Wenn die NOOBS es nicht besser verdient haben als ausgelacht zuwerden. Dann schliesst doch bitte alle Foren dieser Welt. Oder schliesst Anfänger die es lernen wollen doch von Anfang an aus, dann seid ihr unter euch, auch eine Lösung. Dann lassen wir alle Menschen auf der Welt die etwas lernen wollen einfach DUMM sterben. Auch eine Lösung.......

Zitat von DietmarH

Wenn du damit leben kannst, daß deine Seite gehackt wird und neu gemacht werden muß, ist es genau so wenig ein Problem wie wenn dein selbst gebasteltes Regal im Keller von der Wand fällt. Aber genau so wenig wie du beim Regal den Baumarkt dafür verantworlich machen kannst, kannst du bei Joomla die Programmierer dafür verantwortlich machen, daß dir das nötige Wissen fehlt.

Wenn ich im Baumarkt ein fertiges Regal kaufe und nicht in der lge bin dieses perfekt zu befestigen darf ein Lacher dabei sein.

Joomla ist aber kein fertiges Produkt was mit 4 Schrauben zu besfestigen ist. Ich würde niemals einen Programmierer dafür verantwortlich machen, und ich bemühe mich schon darum die Sicherheir ziemlich gross zuhalten. Leider kann ich als NOOB es nur mit und mit lernen weil mir die Zeit fehlt. Der Hinweis man sollte es denjenigen überlassen die es können, zeigt das die Umsätze die ihr macht nicht sher gross sein können, sowie der Baumarkt des Handwerkers Tod ist.

Zitat von flotte

Meines Erachtens sollten die Fachleute-Diskussionen eventuell besser in einem eigenen Bereich geführt werden. Anstatt der ewigen "wer ist Schuld-Fragen" und "Typo3 vs. Joomla-Diskusionen" mal einen Profibereich mit dem Anpruch Verbessungsvorschläge zu formulieren. Mal schauen, ob die "Profies" dann immer noch so präsent sind.

Und das ist ein Verhalten, was in der IT immer zu schlechten Ergebnissen führt: Profis haben meistens keinen Einblick in genau die Dinge, die Anfänger dringend nötig haben. Es ging mir hier in diesem Thread auch nicht um irgendwelche Schuldzuweisungen, sondern um die Meinungen aller zu dem Thema Joomla und Sicherheit. Und vielleicht diskutiert man darüber ein bißchen und hört sich auch die Meinungen und Wünsche der Anfänger an.

Zitat von Ein Aachener

Wenn die NOOBS es nicht besser verdient haben als ausgelacht zuwerden. Dann schliesst doch bitte alle Foren dieser Welt. Oder schliesst Anfänger die es lernen wollen doch von Anfang an aus, dann seid ihr unter euch, auch eine Lösung. Dann lassen wir alle Menschen auf der Welt die etwas lernen wollen einfach DUMM sterben. Auch eine Lösung.......

An dieser Stelle sollte vielleicht erneut festgehalten werden, dass es genau darum geht: Willigen Anfängern eine Hilfestellung an die Hand geben, anhand der sie sich dieses Wissen aneignen können. Hier geht es nicht darum, sich über Anfänger lustig zu machen.

Ich habe von Indoorcycling genausowenig Ahnung wie von irgendwelchen Zahntechnikprozeduren. Ich würde auch nicht auf die Idee kommen, mir irgendwelche Zahnfülllungen selber herzustellen, nicht ohne mir das notwendige Fachwissen und Materialien anzueignen. Und genau darum geht es hier: Anfängern gezielter Wissen beizubringen.

Zitat von Ein Aachener

Joomla ist aber kein fertiges Produkt was mit 4 Schrauben zu besfestigen ist.

Webanwendungen sind aber auch kein Produkte, die nach einer einfachen Installation fix und fertig zur Verwendung stehten. Leider wird genau dieses aber momentan vermittelt und wiegt Anfänger in trügerischer Sicherheit, wie hier täglich zu beobachten ist.

CU
Stephan