Kommentare zu: TYPO3 Security Bugschnitzeljagd 2008

Von: TYPO3 Bug Schnitzeljagd Rückblick | TYPO3 Blogger

TYPO3 Bug Schnitzeljagd Rückblick | TYPO3 Blogger — Sun, 07 Dec 2008 23:13:11 +0000

[...] bin ich dazu gekommen den Abschluss der Aktion zu machen. Nach anfänglichem hin und her mit dem Security Team, ist die Aktion ja dennoch [...]

Von: Security Bug Schnitzeljagd Finish | TYPO3 Blogger

Security Bug Schnitzeljagd Finish | TYPO3 Blogger — Thu, 27 Nov 2008 09:09:11 +0000

[...] grade hat die TYPO3 Security Bug Schnitzeljagd geendet. Das Einsenden von Bugs mit dem “Schnitzeljagd”-Keyword wird nun nicht mehr [...]

Von: Tim Lochmüller

Tim Lochmüller — Wed, 26 Nov 2008 08:51:07 +0000

Da die Diskussion ja schon ein wenig in die falsche Richtung entfacht ist, werde ich die Comments hier schließen. Ich hoffe ihr findet noch reichlich Bugs, denn morgen ist die Aktion zu ende.

Von: Georg Ringer

Georg Ringer — Wed, 26 Nov 2008 06:47:09 +0000

Hallo Marc,

ich verstehe das security-Team und deren Ziele völlig, es ist bereits alles mit ihnen geklärt und es läuft wunderbar, was also nicht notwendig war, wär dein Post gewesen. Deswegen werd ich auf eine weitere Diskussion auch nicht eingehen.

such lieber bugs als dich zu ärgern

Von: Marc

Marc — Tue, 25 Nov 2008 21:46:08 +0000

Die herblassende Art des Security-Teams hier empfinde ich als absolut daneben. Anstatt einfach sich selber mit Tim und Georg in Verbindung zu setzen und das mal schnell zu klären, muss hier in Kommentaren öffentlich gelästert weren (doch so kommt es an) und von vielen Menschen singt die Bereitschaft immer mehr zu helfen, da a) entweder keine Reaktion kommt (oft genug passiert) oder b) man “angemotzt” wird. Der Ton macht halt die Musik. Sorry jungs, aber das musste raus. Euch beiden viel Glück mit der Aktion! Marxs

Von: TYPO3 Bugschnitzeljagd - Zwischenbericht | TYPO3 Blogger

TYPO3 Bugschnitzeljagd - Zwischenbericht | TYPO3 Blogger — Sat, 22 Nov 2008 12:40:04 +0000

[...] Bugschnitzeljagd geht in die letzte Woche! Es wurden bereits Fehler in über 20 Extension aufgedeckt, wobei die [...]

Von: Sicherheitsprobleme bei TYPO3 Extensions | TYPO3 Blogger

Sicherheitsprobleme bei TYPO3 Extensions | TYPO3 Blogger — Tue, 11 Nov 2008 09:09:39 +0000

[...] diesem Zusammenhang möchte ich auch auf unsere TYPO3 Security Bugschnitzeljagd 2008 hinweisen. Bei dieser gibt es interessante Preise für das Auffinden von Security-Bugs in TYPO3 zu [...]

Von: Tim Lochmüller

Tim Lochmüller — Thu, 06 Nov 2008 16:34:39 +0000

Klar… zählt auch!

Von: Cyrill Helg

Cyrill Helg — Thu, 06 Nov 2008 16:06:13 +0000

Zählt Cross-Site Scripting (XSS) auch? Bei Extensions im Frontend sollte eigentlich oder?

Von: Tim Lochmüller

Tim Lochmüller — Thu, 06 Nov 2008 14:22:22 +0000

Mit dem Security-Team wurde sich jetzt dadrauf geeinigt, dass die Bugs bei denen reportet werden und wir eine Info bekommen.

Von: Henning Pingel

Henning Pingel — Thu, 06 Nov 2008 13:12:05 +0000

Hi Tobi,
ich habe nicht behauptet, dass irgendjemand gegen das Security-Team wettert und ich habe auch nicht gesagt, es sei negativ, Leute zur Fehlersuche zu animieren. An Qualitätsverbesserung ist eigentlich jeder interessiert. Für das Melden normaler Bugs gibt es den TYPO3-Bugtracker. Für das Melden von Security-Bugs wird dieser aber nicht verwendet, sondern es geht direkt an s.e.c.u.r.i.t.y@t.y.p.o.3.o.r.g (Punkte wegen Spamschutz).
Wir haben eine Extension-Security-Policy veröffentlicht (http://typo3.org/teams/security/extension-security-policy/), in der die Workflows und Zeitabläufe so genau wie möglich beschrieben sind. Wenn nun aber jemand anders die Sicherheitslücken in Empfang nimmt und bearbeitet, können wir die dort angebebenen Zeitabläufe und Workflows nicht einhalten, weil Tim und Georg ihre eigenen Workflows vorschalten. Deshalb nochmal: Wenn es nur um die Vergabe von iPods und Goodies geht, können wir auch andere Wege der Belohnung finden. Eine weitere E-Mailadresse zum Reporten von Sicherhheitslücken ist jedoch nicht angebracht.
Was ist, wenn der E-Mail-Account gehackt werden würde? Was ist, wenn Tim und Georg krank werden und keine Zeit haben, die Issues zu bearbeiten. Die beiden nehmen durch die Aktion eine gefährliche Verantwortung auf sich.
Viele Grüße
Henning

Von: Tobi

Tobi — Thu, 06 Nov 2008 13:00:15 +0000

Hallo Henning,

ich finde es grundsätzlich auch besser, wenn es ‘nur’ eine Anlaufstelle für neue Bugs gibt.

Ich glaube aber, dass es Tim und Georg bei dieser Aktion nicht darum geht gegen das (sehr gute) TYPO3 Security Team zu wettern, sondern die Qualität der Software zu verbessern, mit der wir täglich arbeiten.

Ich verstehe daher nicht, warum es vom TYPO3 Security Team so negativ aufgenommen wird, wenn mal jemand Leute animiert nach Fehler zu suchen.

Jeder der einen Fehler findet steht es frei, den beim Security Team zu melden. Sollte bei der Aktion von Tim nun neue Sicherheitslüche gefunden werden, würde ich mich fragen, warum erst eine solche Aktion nötig ist um diese zu finden.

Am Ende haben wir doch alle was davon, wenn viele Bugs gefunden werden.

Tim hat, so denke ich, nicht die Absicht die Fehler zu sammeln und für sich zu behalten, sondern diese an euch weiter zu geben. Freut euch, dass die Anzahl der gefunden Fehlern durch diese Aktion zunimmt.

@Tim: Find die Aktion gut – mach weiter so.

Gruß
Tobi

Von: Henning Pingel

Henning Pingel — Thu, 06 Nov 2008 12:33:51 +0000

Hi,

Warum existiert ein Security-Team (http://typo3.org/teams/security) mit einer einzigen E-Mail-Adresse, an die man Sicherhheitslücken melden kann? Weil damit eindeutig definiert ist, an wen man sich wendet. Wenn man die Feuerwehr rufen will, gibt es auch nur eine Telefonnummer, damit keine Konfusion entsteht.

Wenn ihr jetzt eine nette Aktion macht, machen nächsten Monat noch andere Community-Mitglieder ihre eigenen Aktionen, weil sie auch einen iPod rumliegen haben. Und in sechs Monaten haben wir dann 6 E-Mail-Adressen, an die die Community Sicherhheitslücken melden soll. Ist das erstrebenswert?

Ich weiß aber auch, dass Euch Sicherhheit wichtig ist und erkenne an, dass Ihr Euch dafür engagiert. Aber dafür müsst Ihr keine zweite Kontaktadresse aufmachen.

Viele Grüße
Henning

Von: Tim Lochmüller

Tim Lochmüller — Thu, 06 Nov 2008 12:21:43 +0000

Ein inoffizielles Security-Team versuchen wir mit dieser Aktion nicht zu gründen. Wir versuchen mit der Aktion bei möglichst vielen Leuten das Sicherheitsgefühl für TYPO3 zu wecken. Die Bugs werden alle an das Security-Team weitergegeben und nicht publiziert. Zudem haben Georg und ich die Möglichkeit zusätzlich schon Bugfixes mitzuliefern, weil es ja in 90% der Sicherheitsfehler Kleinigkeiten sind die behoben werden müssen.

Von: Henning Pingel

Henning Pingel — Thu, 06 Nov 2008 12:13:43 +0000

Hallo,

eine Schnitzeljagd ist ein lustiges Abenteuerspiel, Sicherheislücken zu stopfen ist eine ernste und diskrete Angelegenheit. Beides passt meiner Meinung nach nicht zusammen. Es sollte keinen Mann-In-Der-Mitte geben beim Reporten von Security-Issues. Dann liegen sensible Daten an mehr Orten herum, als es sein muss. Ich finde die zu Grunde liegende Idee nett (Belohnung für das Finden von Lücken), bin aber nicht begeistert vom Konzept dieser Aktion, auch weil sie nicht mit dem TYPO3 Security Team abgesprochen worden ist. Belohnen könnt Ihr Reporter von Sicherheitslücken auch, ohne ein weiteres inoffizielles Security-Team zu gründen.

Viele Grüße
Henning Pingel
Mitglied des TYPO3 Security Teams