[niederrhein.pm] heise online: BSI nimmt WordPress, Typo3 & Co. unter die Security-Lupe
Jens Rehsack
rehsack at googlemail.com
Fr Jun 21 08:57:54 PDT 2013
On 21.06.13 14:16, Torsten Raudssus wrote:
> Das Problem ist nicht die CMS software, das Problem ist ein politisches.
> Um es noch perverser zu machen: Das Problem ist PHP. Ich habe da schon
> einen Plan, der uns ermöglicht verdammt viel von den PHP programmierern
> abzukassieren und denen ein CMS zu geben was denen immernoch erlaubt PHP
> zu nutzen und dies sogar in kombination mit anderen agenturen parallel
> (Also stell dir vor 2 agenturen arbeiten parallel an einer PHP seite
> ohne sich zu stören! BOAR! :D). Bisher hab ich dies aber als
> kommerzielles Produkt geplant.... JEDEMENGE code ist schon da, bin in
> den letzten Zügen, komm aber nicht weiter das ding zu vervollständigen.
> Prinzipiell ist der Gedanke => PUBLISHING.
Naja - kann Deine Lösung auch von den Architektur-Vorzügen von Perl
profitieren?
> OpenSource mäßig wird das alles bissel eng, weil konkret geht es darum
> die PHP agenturen als Kunden zu kriegen und es zu schaffen abzukassieren
> von ihrem bedarf an sauberer infrastruktur, aber trotzem immernoch ihnen
> zu ermöglichen ihr PHP wissen anzuwenden. Wenn man denen da nen Perl
> OpenSource brocken hinschmeisst, werden die nicht anbeissen, das ist
> einfach so.
Das war auch nicht die Idee, sondern eine rundum-sorglos Lösung zu
bauen. Aber eine, die mit Perl's sugar arbeitet, Plugins via Moose
(ggf. Perl6) ganz geschmeidig macht und out-of-the-box einfach wirklich
was bietet und hermacht.
> Die Firma InterRed macht mit dem Gedankengang gerade
> Millionen...............
Ich bin immer gern bereit, Geld zu verdienen :P
Jens
> 2013/6/21 Jens Rehsack <rehsack at googlemail.com
> <mailto:rehsack at googlemail.com>>
>
> Diese Meldung aus heise online wurde Ihnen von "Jens Rehsack
> <rehsack at googlemail.com <mailto:rehsack at googlemail.com>>" gesandt.
> Wir weisen darauf hin, dass die Absenderangabe nicht verifiziert
> ist. Sollten Sie Zweifel an der Authentizität des Absenders haben,
> ignorieren Sie diese E-Mail bitte.
> ------------------------------------------------------------------------
> Moin zusammen,
>
> also wenn wir Getty mal recht haben lassen wollen - es sollte für
> uns ein Spaziergang sein, da etwas dagegen zu stellen, das Dank
> Dancer(2), DBIC / DBI + PlaceHolder & Co. recht gut abgesichert
> gegen direkte Angriffe auf den Dienst selbst ist.
>
> Ich bin da auch gern bereit, das wir da mal sowas wie einen
> Hackathon zu machen, wenn wir uns vorher wenigstens grob überlegt
> haben, was wir wollen und brauchen.
> ------------------------------------------------------------------------
>
> 21.06.2013 07 <tel:21.06.2013%2007>:47
>
> BSI nimmt WordPress, Typo3 & Co. unter die Security-Lupe
>
> In einer über 160 Seiten starken Studie[1] des Bundesamts für
> Sicherheit in der Informationstechnik (BSI) werden die gängigen
> Web-CMS-Lösungen Drupal, Joomla!, Plone, Typo3 und WordPress genauer
> unter die Security-Lupe genommen. Untersucht wurden unter anderem
> die Phasen des jeweiligen Lebenszyklus' der Software, vorhandene
> Protokollierungseinstellungen und der gebotene Datenschutz.
>
> Eine Auswertung bekannter Schwachstellen durch das BSI ergibt, dass
> Joomla! und Typo3 einen vergleichsweise hohen Anteil der
> schwerwiegenden Code-Execution-Lücken haben.
> Bild: BSI
>
> Eine vom Hersteller nicht gepatchte Schwachstelle, das Fehlen eines
> Krisenkommunikationsprozesses oder eines Brute-Force-Schutzes wirkt
> sich unmittelbar negativ auf die Gesamteinschätzung durch das BSI
> aus, wohingegen eine hakelige Integration in bestehende
> Managementsoftware nur zu moderater Abwertung führt. Auf einen
> Penetrationstest haben die BSI-Experten vorerst jedoch verzichtet.
>
> Vorgenommen hat sich das BSI die CMS aufgrund ihrer exponierten
> Stellung: Sie können für Angreifer ein erstes Ziel sein beim
> Versuch, in das interne Netzwerk eines Unternehmens einzudringen.
> Dazu kommt, dass diese Systeme meist ohne weitere Anpassung
> installiert und verwendet werden, so dass eine aufgetauchte
> Schwachstelle auf einen Schlag viele Websites gleichzeitig in Gefahr
> bringt.
>
> Eines der – wenig überraschenden – Resultate der Studie ist, dass im
> Verhältnis ungleich mehr Schwachstellen in Plug-ins gefunden werden
> als in der Basissoftware des CMS an sich. Im Fall von WordPress
> beispielsweise entfallen 20 Prozent aller Bugs auf das CMS, 80
> Prozent hingegen auf Add-Ons. Bei Drupal ist das Verhältnis mit fünf
> Prozent (CMS) zu 95 Prozent (Erweiterungen) noch erheblich krasser.
>
> Grundsätzlich bescheinigen die Autoren der Studie den CMS ein gutes
> Sicherheitsniveau und zeigen sich zufrieden mit den
> sicherheitsrelevanten Prozessen der einzelnen Anbieter. Gleichzeitig
> empfehlen sie jedoch, ein CMS keinesfalls in der
> Standardkonfiguration zu betreiben, sondern es nach der Installation
> hinsichtlich der für die Sicherheit relevanten Optionen anzupassen.
> Dazu gehören beispielsweise der Einsatz von nicht-standardisierten
> Admin-Accounts, eines automatisierten Update-Managements sowie das
> Verwenden von HTTPS für den Betrieb des Front- und auch Backends.
> (Uli Ries)
> /
>
>
> (rei[2])
>
>
>
>
>
>
>
> URL dieses Artikels:
>
> http://www.heise.de/newsticker/meldung/BSI-nimmt-WordPress-Typo3-Co-unter-die-Security-Lupe-1894120.html
>
>
>
> Links in diesem Artikel:
>
> [1]
> https://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.html
> [2] mailto:rei at heise.de <mailto:rei at heise.de>
>
> ------------------------------------------------------------------------
> Copyright Heise Zeitschriften Verlag
>
> _______________________________________________
> Niederrhein-pm mailing list
> Niederrhein-pm at pm.org <mailto:Niederrhein-pm at pm.org>
> http://mail.pm.org/mailman/listinfo/niederrhein-pm
>
>
Mehr Informationen über die Mailingliste Niederrhein-pm