WebsiteBaker Support (2.8.x) > Diskussion über WB (closed)

WB Sicherheit, die neue

<< < (2/3) > >>

susigross:

--- Quote from: Waldschwein on July 27, 2010, 01:12:20 PM ---Aber es ist ja alles kein Geheimnis:
http://secunia.com/research/

--- End quote ---

Na im Juni war wohl hier grade Urlaubszeit?
Ich sehe mir nur mal den erstbesten Fehlerreport dort an:


--- Quote ---6) Time Table
07/06/2010 - Vendor notified.
14/06/2010 - Vendor notified (2nd attempt).
22/06/2010 - Vendor notified (3rd attempt).
30/06/2010 - Public disclosure.

--- End quote ---

Es gibt ja im Forum auch eine Abteilung "Security Announcements" - aber dort stammt der letzte Beitrag vom 2. April - bravo. Man ist also hier nach wie vor nicht gewillt, die User über die offenen Messer zu informieren, die in WB stecken.

BlackBird:
Zend = "Hersteller" von PHP
Zend Framework = PHP Framework von Zend

http://www.zend.com/de/

Die Nutzung eines vernünftigen Frameworks ist an sich eine sehr gute Idee, da man die Standard-Sachen dem Framework überlassen kann. (Authentifizierung, Sessionmanagement, Sprachunterstützung, Datenbankabstraktio n, ...) Das betrifft selbstverständlich _auch_ die Sicherheit. Und da halte ich jede Wette, daß WB deutlich unsicherer ist, als PHP selbst oder auch das Zend Framework.

Was nicht heißt, daß man nicht basierend auf einem Framework eine unsichere Applikation schreiben kann. :evil:

Waldschwein:
Zu Zend: Ich kann mit einem Auto mit Airbags auch gegen die Wand fahren und das Auto ist incl. mir hin. Zend, MVC usw. bieten viele tolle Möglichkeiten, aber wenn man sie nicht nutzt ist da null nischt mit Sicherheit. Aber man kann ja mal Herrn Esser fragen, was er von der Sicherheit in PHP hält.  :-D


--- Quote from: FrankH on July 27, 2010, 03:12:33 PM ---Es gibt ja im Forum auch eine Abteilung "Security Announcements" - aber dort stammt der letzte Beitrag vom 2. April - bravo. Man ist also hier nach wie vor nicht gewillt, die User über die offenen Messer zu informieren, die in WB stecken.

--- End quote ---
Ja und nein. Ich muss hier die beiden Entwickler einmal in Schutz nehmen, ich habe die Informationen ja auch sofort bekommen - nicht dass hier einer meint, die Formulare auf der Webseite wären nur zur Zierde da.
Wenn man sich die Secunia reports (das Datum stimmt mit meinem E-Mail-Postfach überein) im Detail ansieht wird man feststellen, dass es viel schwerer ist, einen "Tipp" zu geben wie man die Fehler vermeidet.
Gerade CSRF vermeidet man nicht mal einfach so mit einer Zeile Code irgendwo, wie es z.B. beim (wesentlich gravierenderen) Backup-Exploit der Fall war - Secunia selbst stuft die Ganzen Exploits eher gering ein.
Daher stellt sich die Frage, was man eigentlich in solch einem Announcement dann außer Verunsicherung erzeugt. "WB ist unsicher, wir haben zwar keine Lösung aber wir wollten's mal gesagt haben" ist ja auch Mist.
Dass die momentane SVN zwar teilweise (oder sogar mittlerweile schon vollständig) alle Exploits mit vielen Kompromissen hinsichtlich alter Module (also wir stellen eine Strickschnur vor das offene Scheunentor und durch die offenen Löcher nageln wir ein paar OSB-Platten, damit es nicht ganz so arg durchpfeift, das Scheunentor aber muss wegen Denkmalschutz erhalten bleiben, weil Scheunentor abreisen und völlig neues, einbruchsicheres aufbauen muss lange überdacht werden) stopft ist klar. Auf der anderen Seite ist die momentane SVN ein bißchen ziemlich wackelig, weil eben einiges Einzug gehalten hat, was erst einmal richtig bewährt sein muss - FTAN, u.v.a.m.

Gruß Michael

BlackBird:

--- Quote from: Waldschwein on July 27, 2010, 05:39:44 PM ---Zu Zend: Ich kann mit einem Auto mit Airbags auch gegen die Wand fahren und das Auto ist incl. mir hin. Zend, MVC usw. bieten viele tolle Möglichkeiten, aber wenn man sie nicht nutzt ist da null nischt mit Sicherheit.
--- End quote ---

Du vergleichst da Äpfel mit Birnen. Wenn man die Methoden nutzt, die beispielsweise Zend zur Verfügung stellt, ist das allemal sicherer, als selbst einen Datenbankzugriff zu programmieren. Zumal man dann das Thema Sicherheit Leuten überlassen kann, die auch was davon verstehen. Natürlich _kann_ ich auch bei Nutzung eines Frameworks um dessen API drumrum programmieren, aber dann brauche ich auch kein Framework.

susigross:
Bis auf ein Problem im Backend vom Form-Modul betreffen alle Sicherheitsprobleme das admin-Verzeichnis.
Nun ich vermute daher mal, für die übergroße Mehrheit der Webseiten besteht der optimale Schutz einfach darin, das gesamte admin-Verzeichnis per .htaccess zu schützen. Der Admin, der regulär Zugriff hat, wird sich kaum selbst in den Fuß schießen wollen und hat also kein Bedürfnis, die Lücken gegen sich selbst auszunutzen. Bei Seiten mit vielen Benutzer-Logins wird es dann allerdings etwas komplizierter.

Navigation

[0] Message Index

[#] Next page

[*] Previous page