<div dir="ltr">Das Problem ist nicht die CMS software, das Problem ist ein politisches. Um es noch perverser zu machen: Das Problem ist PHP. Ich habe da schon einen Plan, der uns ermöglicht verdammt viel von den PHP programmierern abzukassieren und denen ein CMS zu geben was denen immernoch erlaubt PHP zu nutzen und dies sogar in kombination mit anderen agenturen parallel (Also stell dir vor 2 agenturen arbeiten parallel an einer PHP seite ohne sich zu stören! BOAR! :D). Bisher hab ich dies aber als kommerzielles Produkt geplant.... JEDEMENGE code ist schon da, bin in den letzten Zügen, komm aber nicht weiter das ding zu vervollständigen. Prinzipiell ist der Gedanke => PUBLISHING.<div>
<br></div><div><div style>OpenSource mäßig wird das alles bissel eng, weil konkret geht es darum die PHP agenturen als Kunden zu kriegen und es zu schaffen abzukassieren von ihrem bedarf an sauberer infrastruktur, aber trotzem immernoch ihnen zu ermöglichen ihr PHP wissen anzuwenden. Wenn man denen da nen Perl OpenSource brocken hinschmeisst, werden die nicht anbeissen, das ist einfach so.</div>
<div style><br></div><div style>Die Firma InterRed macht mit dem Gedankengang gerade Millionen............... </div><div><br></div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">2013/6/21 Jens Rehsack <span dir="ltr"><<a href="mailto:rehsack@googlemail.com" target="_blank">rehsack@googlemail.com</a>></span><br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Diese Meldung aus heise online wurde Ihnen von "Jens Rehsack <<a href="mailto:rehsack@googlemail.com">rehsack@googlemail.com</a>>" gesandt. Wir weisen darauf hin, dass die Absenderangabe nicht verifiziert ist. Sollten Sie Zweifel an der Authentizität des Absenders haben, ignorieren Sie diese E-Mail bitte.<br>

------------------------------------------------------------------------<br>
Moin zusammen,<br>
<br>
also wenn wir Getty mal recht haben lassen wollen - es sollte für uns ein Spaziergang sein, da etwas dagegen zu stellen, das Dank Dancer(2), DBIC / DBI + PlaceHolder & Co. recht gut abgesichert gegen direkte Angriffe auf den Dienst selbst ist.<br>

<br>
Ich bin da auch gern bereit, das wir da mal sowas wie einen Hackathon zu machen, wenn wir uns vorher wenigstens grob überlegt haben, was wir wollen und brauchen.<br>
------------------------------------------------------------------------<br>
<br>
<a href="tel:21.06.2013%2007" value="+12106201307">21.06.2013 07</a>:47<br>
<br>
BSI nimmt WordPress, Typo3 & Co. unter die Security-Lupe<br>
<br>
In einer über 160 Seiten starken Studie[1] des Bundesamts für Sicherheit in der Informationstechnik (BSI) werden die gängigen Web-CMS-Lösungen Drupal, Joomla!, Plone, Typo3 und WordPress genauer unter die Security-Lupe genommen. Untersucht wurden unter anderem die Phasen des jeweiligen Lebenszyklus' der Software, vorhandene Protokollierungseinstellungen und der gebotene Datenschutz.<br>

<br>
Eine Auswertung bekannter Schwachstellen durch das BSI ergibt, dass Joomla! und Typo3 einen vergleichsweise hohen Anteil der schwerwiegenden Code-Execution-Lücken haben.<br>
Bild: BSI<br>
<br>
Eine vom Hersteller nicht gepatchte Schwachstelle, das Fehlen eines Krisenkommunikationsprozesses oder eines Brute-Force-Schutzes wirkt sich unmittelbar negativ auf die Gesamteinschätzung durch das BSI aus, wohingegen eine hakelige Integration in bestehende Managementsoftware nur zu moderater Abwertung führt. Auf einen Penetrationstest haben die BSI-Experten vorerst jedoch verzichtet.<br>

<br>
Vorgenommen hat sich das BSI die CMS aufgrund ihrer exponierten Stellung: Sie können für Angreifer ein erstes Ziel sein beim Versuch, in das interne Netzwerk eines Unternehmens einzudringen. Dazu kommt, dass diese Systeme meist ohne weitere Anpassung installiert und verwendet werden, so dass eine aufgetauchte Schwachstelle auf einen Schlag viele Websites gleichzeitig in Gefahr bringt.<br>

<br>
Eines der – wenig überraschenden – Resultate der Studie ist, dass im Verhältnis ungleich mehr Schwachstellen in Plug-ins gefunden werden als in der Basissoftware des CMS an sich. Im Fall von WordPress beispielsweise entfallen 20 Prozent aller Bugs auf das CMS, 80 Prozent hingegen auf Add-Ons. Bei Drupal ist das Verhältnis mit fünf Prozent (CMS) zu 95 Prozent (Erweiterungen) noch erheblich krasser.<br>

<br>
Grundsätzlich bescheinigen die Autoren der Studie den CMS ein gutes Sicherheitsniveau und zeigen sich zufrieden mit den sicherheitsrelevanten Prozessen der einzelnen Anbieter. Gleichzeitig empfehlen sie jedoch, ein CMS keinesfalls in der Standardkonfiguration zu betreiben, sondern es nach der Installation hinsichtlich der für die Sicherheit relevanten Optionen anzupassen. Dazu gehören beispielsweise der Einsatz von nicht-standardisierten Admin-Accounts, eines automatisierten Update-Managements sowie das Verwenden von HTTPS für den Betrieb des Front- und auch Backends. (Uli Ries)<br>

 /<br>
<br>
<br>
(rei[2])<br>
<br>
<br>
<br>
<br>
<br>
<br>
<br>
URL dieses Artikels:<br>
<br>
<a href="http://www.heise.de/newsticker/meldung/BSI-nimmt-WordPress-Typo3-Co-unter-die-Security-Lupe-1894120.html" target="_blank">http://www.heise.de/newsticker/meldung/BSI-nimmt-WordPress-Typo3-Co-unter-die-Security-Lupe-1894120.html</a><br>

<br>
<br>
<br>
Links in diesem Artikel:<br>
<br>
  [1] <a href="https://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.html" target="_blank">https://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.html</a><br>
  [2] mailto:<a href="mailto:rei@heise.de">rei@heise.de</a><br>
<br>
------------------------------------------------------------------------<br>
Copyright Heise Zeitschriften Verlag<br>
<br>
_______________________________________________<br>
Niederrhein-pm mailing list<br>
<a href="mailto:Niederrhein-pm@pm.org">Niederrhein-pm@pm.org</a><br>
<a href="http://mail.pm.org/mailman/listinfo/niederrhein-pm" target="_blank">http://mail.pm.org/mailman/listinfo/niederrhein-pm</a></blockquote></div><br></div>