13 Reaktionen zu “Security Workflow jetzt mit Drohungen”

Kommentare abonnieren (RSS) oder TrackBack URL

Ich kann dein Herzblut verstehen, aber ich will dir auch sagen „Mach mal kein Fass auf.“
Setzt euch 20 Minuten per Skype zusammen, räumt die Missverständnisse aus und danach wird die Geschichte ganz anders aussehen.

Sebastian Michaelsen am 28. April 2011 um 10:31

Ich kann den Frust von Alex durchaus verstehen. Da Alex dem Security Team durch die von ihm berichteten Sicherheitslücken ja durchaus bekannt war wundert mich aber, warum da keiner mal zum Telefonhörer greift und versucht, das ganze in einem persönlichen Gespräch zu klären.

Peter Kraume am 28. April 2011 um 10:42

Ich denke beide Vorgehen sind verständlich. Deine Alex bw. eure Arbeit an powermail ist auf jedenfall mal sehr lobenswert, auch die Tatsache, dass ihr euch ständig um die Weiterentwicklung und Sicherheitslöcher kümmert. Und von Seiten des Security Team gibt es sicher Vorgehensweisen die deren Mail rechtfertigen. Insofern: gebe ich Sebastian Recht, setzt euch zusammen und das Problem ist schnell aus der Welt.

Und danke für eine super Extension.

dirk d. am 28. April 2011 um 10:47

Mal abgesehen davon, was von der Abmahnsituation zu halten ist, finde ich die Vorschrift des Security Workflow, ohne Fristangabe bis zu einem finalen Ergebnis warten zu müssen, unhaltbar. Es handelt sich bei Sicherheitsproblemen offensichtlich um zeitkritische Probleme und es kann daher nur im Interesse aller liegen, dass diese so schnell wie möglich beseitigt werden.

Daher sollte in den Workflow eine Wartefrist – sagen wir 1 oder 2 Wochen – sowie ein Anhörungsprozess eingebaut werden, bei dem der Programmierer der Extension zu dem Problem Stellung nehmen kann und gleichzeitig verbesserten Code zur nachfolgenden Freigabe mitliefern kann.

Jorgo am 28. April 2011 um 11:18

Ich kann mich meinem Vorredner nur anschließen. Dass eine gewisse Struktur eingehalten werden muss, steht außer Frage, aber TYPO3 lebt nun einmal durch die Extensions der Community. Und wenn man die Sicherheit der Extensions und die Motivation der Entwickler an zweite und dritte Stelle stellt, dafür aber seinen Verwaltungsapparat an oberste, spricht das meines Errachtens nicht für das Motto „inspiring people to share“…
Gerade, weil durch dein (Alex) Handeln keiner einen Nachteil hat.
Gruß Björn

Björn am 28. April 2011 um 11:42

Ich hatte erwartet, dass der Kommentar von Alexander zu der von mir verfassten Mail von ebenso per Mail erfolgt. Aber nun gut, ich will nicht kleinlich sein.

Die vom TYPO3 Security Team gewünschten Zeithorizonte sind in der TYPO3 Extension Security Policy dargelegt.
http://typo3.org/teams/security/extension-security-policy/

Sicherlich gab es gegen die gewünschten Zeiträume verstoße seitens des Security Team als von Extension Maintainern. Aber wir sind nun mal Menschen. Seitens des Teams wird auch priorisiert; Schwachstellen in TYPO3 Core erhalten nun mal mehr Aufmerksamkeit als solche in Extensions. Außerdem kann niemand mit der Mitarbeit im Security Team seinen Lebensunterhalt bestreiten.

In dem o.g. Fall war mir nicht klar, dass der initiale Report (er kam nicht von Alexander) von einem Entwickler aus dem Powermail-Team kam. Ich nahm also an, dass das Security Team nur durch Zufall („einer Person fiel die Änderung auf“) von dem Security Fix erfuhr.

Das ändert aber auch nichts daran, dass wir erst nach Veröffentlichung der neuen Extension-Version incl. Security Fix vom Powermail-Team informiert wurden.

Dies sollte aber nicht passieren. Wir könnten ja durchaus Anpassungen einfordern, aber der Security Fix ist bereits veröffentlicht worden, die Schwachstelle ableitbar und ein Exploit erstellbar.
Des Weiteren veröffentlichen wir bei derartig weit verbreiteten Erweiterungen ein Security Bulletin *zeitgleich* mit der neuen Extension Version.
Auch dies ist nicht möglich, wenn wir erst im Nachhinein informiert werden.

Wenn die Extension Security Policy mehrfach nicht eingehalten worden ist, Benutzer der Erweiterung dadurch der Gefahr einer Kompromittierung Ihrer Installation ausgesetzt werden bleibt uns nichts anderes übrig, als ebendiese Benutzer vor dem Einsatz der Erweiterung zu warnen.

Marcus Krause am 28. April 2011 um 11:43

Unabhängig von Fristen und eventuell im Mail vergriffenem Ton ist die Forderung nach „erst berichten, dann fixen“ ja korrekt.
Und es ist ja wie beschreiben i.d.R. so „Des Weiteren veröffentlichen wir bei derartig weit verbreiteten Erweiterungen ein Security Bulletin *zeitgleich* mit der neuen Extension Version.“

Aber es kann ja auch sein, dass das ganze nicht trivial zu lösen ist, oder bei den Entwicklern plötzlich mal der Truck-Faktor seine Wirkung zeigt (Gott bewahre).

Als „Herzblut-Entwickler“ muss ich sagen finde ich die Forderung „erst berichten, dann fixen“ absolut löblich. Das versucht wird die durchzusetzen sinnvoll (für _alle_ Beteiligten). Das dabei mal Mißverständnisse auftreten können (Revierkämpfe vs. Darstellung der Notwendigkeit; Drohungen vs. in bestimmten Fällen sinnvolle Konsequenzen) ist ja schon klargestellt worden.

Gerade als Herzblut-Entwickler stehe ich selbst immer vor dem Problem nicht zu lesen was die Leute schreiben, sondern nur die Beweggründe zu betrachten. Das ist die einzige Möglichkeit (sich einzureden? und) zu sehen das am Ende doch alle nur das Beste wollen.

SomeBody am 28. April 2011 um 11:55

Eine seltsame Politik, lieber eine verbreitete Extension mit Sicherheitsloch über sieben Monate im Netz stehen zu haben, statt sie in gefixter (aber vielelicht noch nicht 100% vom Security Team gecheckter) Version unters Volk bringen zu lassen.

Ich bin und bleib ein Anhänger von powermail – ungeachtet, ob sie vom Security Team geächtet wird oder nicht.

1000 Dank an Alex, Andy und das Powermail-Team!

Julian am 28. April 2011 um 12:02

Ich kann beide Seiten verstehen. Wie von anderen schon geschrieben, wäre ein Anruf oder eine E-Mail sicherlich der bessere Weg gewesen um sich in dieser Angelegenheit zu einigen. Vielleicht wäre dieses auch schon im Vorfelde möglich gewesen, durch eine Rückfrage beim Security Team über den Status. Um die Emmotionen nun aber nicht aufkochen zu lasse, sollte man sich darauf einigen, dass es sich um eine Kommunikationsproblem gehandelt hat und es dabei beruhen lassen.

Viel wichtiger finde ich, dass nun darüber informiert wird, dass es eine Sicherheitslücke gibt (bzw. gab) und mit welcher Version von Powermail diese Lücke zu schließen ist. Wenn die Lücke kritisch ist und sich leicht exploiten lässt, dann ist es wohl nur eine Frage der Zeit, bis sie auch ausgenutzt wird. Deshalb sollte nun auch schnell gehandelt werden, damit die TYPO3 Admins die Extension schnell aktualisieren können.

Torben Hansen am 28. April 2011 um 12:13

Ich finde das übliche Verfahren des Security Teams eigentlich super klasse. Wenn das mit den 7 Monaten stimmt, ist das aber auch heftig.
Vielleicht kann man zukünftig festlegen: Falls das Security Team das Review nicht in einem Monat schafft, dann wird der Fix eben ohne Review freigegeben und so kommuniziert?

Erdal am 28. April 2011 um 12:13

Helmut vom Sec-Team hat mich gerade angerufen und wir haben uns lange und nett unterhalten. Wir haben uns darauf geeinigt, dass der Ton nicht ganz korrekt war, aber das Vorgehen des Sec-Teams grundsätzlich richtig ist.
In einem Forum könnte man den Beitrag jetzt wohl schließen 😉
Danke für das Telefonat Helmut – verbal lässt sich doch einiges schneller klären.

Alex Kellner am 28. April 2011 um 12:18
Trackbacks & Pingbacks

[…] schon seit einem Posting hier bekannt, gab es in der Extension powermail Sicherheitslücken, die mit der Version 1.6.3 behoben […]

[…] vom Entwickler selbst gefunden und gemeldet. Daraufhin gab es ein wohl ein bisschen Stress, was man hier nachlesen […]

Pingback von Typo3: Sicherheitslücke bei Extension powermail | Akif Sahin am 11. Mai 2011 um 10:13

Kategorien

Archiv