Momentan jagt eine Security Meldung die andere. Egal ob Wolfgang Schäuble oder Schalke 04 oder eine Vielzahl anderer Betroffener die sich vermutlich über fremden Zugriff ins CMS nicht sehr gefreut haben.
Das Resultat ist klar: TYPO3 ist einfach verdammt unsicher!
Es ist auch noch nicht allzu lange her, da bin ich über einen Thread im TYPO3 Forum typo3.net gestolpert, in dem ein Anfänger sein Leid gepostet hat: „Wenn man bei Google sucht, erschlagen einen die Security Meldungen“. Das war allerdings nur eines seiner zahlreichen Argumente, warum TYPO3 Mist ist.
Um die Sache einmal näher zu beleuchten, sollte man zu allererst zwischen dem Core (also TYPO3 selber) und den zahlreichen Extensions unterscheiden:
Extensions: Im Prinzip kann jeder eine Extension erstellen und sofort allen anderen Usern zum Einsatz zur Verfügung stellen, egal ob er sich Gedanken über die Sicherheit gemacht hat oder nicht oder ob er überhaupt in der Lage ist, mit seinem Wissensstand über Sicherheitsrisiken nachzudenken oder ob vielleicht sogar böswillig Schadcode versteckt ist…
Um dieses Problem aus der Welt zu schaffen, wäre wohl einige finanzielle Unterstützung nötig und T3 würde stark an seiner Flexibilität einbüßen (An die Entwickler: Stellt euch einmal vor, ihr macht 3 Zeilen Bugfixing in euerer Extension, ladet diese direkt hoch und müsst dann noch 3 oder 4 Wochen bis Freigabe warten, nun habt ihr aber schon wieder ganz andere Dinge an eurer Extension verbessert…)
Vielleicht würde es aber Sinn machen, bereits überprüfte Extensions (Eine security issue wurde bekannt, das T3 Security Team hat einen Blick in eine Extension geworfen und den Entwickler angehalten, dieses zu beseitigen) als solche im TER zu kennzeichnen: Checked Extension!?
Ein wichtiger Indikator, die Anzahl der Downloads einer Erweiterung, funktioniert im TER leider seit Längerem nicht mehr, das sollte man auch fixen.
CORE: Auf der anderen Seite steht der Core, das eigentliche Grundgerüst. Dieses wird von Profis gepflegt und weiterentwickelt.
Aber auch hier gibt es zahlreiche Sicherheitsupdates. Gut so!
Es wäre fatal, würde man nicht so hinter seinem Produkt stehen und es nicht stetig verbessern. Ich würde sogar so weit gehen und behaupten, dass sich andere Content Management Systeme eine Scheibe an diesem Vorgehen abschneiden können. Es soll ja sogar Systeme geben, da gab es noch überhaupt keine Sicherheitspatches. Das ist für mich aber kein Indikator für ein perfektes System sondern eher für die Nachlässigkeit in Bezug auf die Sicherheit.
Auch wenn man die Reaktionszeiten ansieht, lässt sich sagen, dass unser T3 Security Team nicht lange fackelt, sofert ein Problem bekannt wird. Es soll ja große Softwarehäuser geben, die da schon mal ein halbes Jahr Zeit vergehen lassen, ehe gehandelt wird.
Desweiteren finde ich es gut, dass Security issues, je nach Bedrohung, in drei Kategorien aufgeteilt werden um den Admins die Möglichkeit zu geben, die Gefahr richtig einzuschätzen.
Ganz ehrlich: Was will man hier denn noch verbessern?
Dumm nur dass es wohl noch immer eine Vielzahl an ungefixten TYPO3 Installationen gibt und wenn dann doch etwas passiert, ist klar wen die Schuldzuweisungen wieder treffen werden…
Fazit: Weiter so Jungs!
PS: Auch der beste Code nützt nichts bei der Verwendung von zu einfachen Passwörtern