17 Reaktionen zu “TYPO3 ist unsicher!”

Kommentare abonnieren (RSS) oder TrackBack URL

TYPO3 ist in sich ein Super System, keine Frage. Hier erweißt sich viel mehr die Schwäche von Open-Source Produkten generell. Wir, als eingefleischte TYPO3 Anwender und Entwickler, wissen um die schnelle Reaktionszeit und die guten Arbeiten am System. Aber weiß es auch der Rest der Welt? Das ist mein Kritikpunkt an der TYPO3 Welt: Krisenkommunikation ist hier nach wie vor ein Fremdwort. Es ist defacto ein massiver Imageverlust aufgetreten und diesen wieder zu beseitigen wird sicher einige Zeit in Anspruch nehmen und vor allem grundlegende Maßnahmen erfordern!

Andreas am 13. Februar 2009 um 12:08

Ich finde es lachhaft, wie sich die Leute wieder aufspielen. Der Patch wurde vor der Veröffentlichung groß angekündigt und ist meiner Meinung nach von jedem einspielbar. Datei öffnen, suchen und ersetzen, speichern, fertig.

Es wär ja ein Witz, wenn es deinen TYPO3-Patchday geben würde… das würde heißen, dass die Lücken im schlechtesten Fall mehrere Wochen offen wär. Man kennt das Problem ja von anderer Software 😉

Ich finde das Team hat alles richtig gemacht und sollte daher auch dafür gelobt werden.

Andreas Becker am 13. Februar 2009 um 13:03

„Auch der beste Code nützt nichts bei der Verwendung von zu einfachen Passwörtern“

Selbst wenn das Passwort im Installtool trivial einfach ist, hilft das einem Angreifer noch nicht, solange das Installtool gesperrt ist. Da aber leider viele Admins für Installtool und Backend das gleiche Passwort verwenden, ist eine solche Seite leicht angreifbar.
Daher der Rat: für unterschiedliche Logins verschiedene sichere (!) Passwörter verwenden.

Jochen Weiland am 13. Februar 2009 um 13:57

Ich finde auch, dass das Security Team gut und richtig gehandelt hat – ein Administrator der eine TYPO3 Website betreut sollte wirklich die entsprechenden Mailing Listen abonnieren und die Meldungen ernst nehmen.

Dass die Wahl eines guten Passwortes immer noch ein Thema ist, ist speziell bei großen, professionellen Websites ein Unding. Es kommt immer noch zu oft vor, dass nach einem Einbruch die Passwörter nicht geändert und das System nicht untersucht wird. Leider steht dann immer noch am Ende das Statement „TYPO3 ist unsicher“.

Euer Fazit ist in Ordnung, aber die Überschrift trägt nicht dazu bei, das richtige Bild der Problematik zu vermitteln.

Robert Lemke am 13. Februar 2009 um 15:08

Ich kann Andreas (#1) nicht zustimmen, die Kommunikation von TYPO3 ist sauber, nur weil hei*e & Co immer lustiges Bashing machen, heißt das noch lange nichts.

Jochen hat natürlich recht mit dem, dass der beste Code nichts nützt, wenn der User selbst für die offenen bzw angelehnten TÜren und Fenster sorgt

Georg Ringer am 13. Februar 2009 um 15:29

Vielleicht sollte mal an der Lizenz geschraubt werden. Soweit ich das verstanden habe _muß_ wegen GPL (nur ein ‚l‘) jede Extension im TER veröffentlicht werden. Daß der Großteil davon insecure ist, ist damit klar und natürlich ungünstig.

Oder der Kern müßte sich gegen die Extensions abschotten. Weiß nicht, ob das realistisch ist, Performance kostets auf jeden Fall.

Ingo am 13. Februar 2009 um 19:35

Ich kann aus meiner langjährigen Erfahrung mit TYPO3 raus nur sagen, dass ich vom Anfang mit TYPO3 nur berichten kann, dass es doch sehr undurchsichtig ist. Vor allem der Update-Prozess ist nicht wirklich transparent erklärt und hat mich damals immer eher dazu tendieren lassen eben einfach nichts zu updaten.
Heute ist das anders, ich verstehe das System und wir patchen bei den Kunden immer alles sofort. Gerade wenn man regelmäßig updatet ist es sehr simple.

Was ich aber sagen will: Wäre ein Updateprozess im TYPO3 Backend nicht die idealste Lösung? Sicher nicht super einfach zu realisieren, aber sowas wie der 1-2-3-Installer fürs Update der Version wäre sicher sehr genial.

Gibts in der Richtung Ansätze?

Alex am 13. Februar 2009 um 20:49

@Robert: Sorry, ich stehe nach wie vor hinter der, zugegebenermaßen etwas provokanten Überschrift. Das ist ein wichtiges Thema und die Überschrift wirft kein falsches Licht auf die Frage sondern regt zum Nachdenken und Mitdiskutieren an.

Alex Kellner am 13. Februar 2009 um 20:57

@Ingo: das mit der GPL hast du falsch verstanden. Niemand muss seine Extension veröffentlichen, aber ein Extension Entwickler kann nicht verhindern, dass ggf. jemand anders seinen Code verwendet, verändert oder veröffentlicht. Es gibt jede Menge non-public Extensions die nicht im TER sind.

Jochen Weiland am 13. Februar 2009 um 23:22

Wer T3 Schnittstellen nutzt, muß seinen Code ebenso unter GPL stellen. Ob GPL-Code veröffentlicht werden muß, weiß ich nicht. Wo kann man das mal kompakt nachlesen, am besten bzgl TYPO3? Es gibt Leute, die schreiben bridges um nur die bridge aber nicht das Produkt unter GPL stellen zu müssen, das klingt mir nach VeröffentlichungsPFLICHT, sprich TER.

Ingo am 14. Februar 2009 um 20:47

Evtl. bringst du da etwas durcheinander. Wer in einem Produkt (z.B. Router, Navi, …) Softwarekomponenten verwendet, die unter der GPL stehen, muss den Teil des verwendeten/abgeänderten/weiterentwickelten Codes als Quellcode zugänglich machen (meist steht der Code im Produkt ja nur als compilierter Binärcode zur Verfügung). Hier gibt es eine Reihe von Beispielen (D-Link, Tomtom, …) wo der Hersteller zur Veröffentlichung des Codes gezwungen wurde.
Anders ist das im Fall einer TYPO3 Extension, die ja bereits als Quellcode vorliegt. Eine Verpflichtung zur Veröffentlichung im TER gibt es nicht.
Anders wäre es, wenn jemand eine Extension entwickelt und dem Kunden nicht den lesbaren PHP Quellcode gibt sondern nur eine Version, die z.B. mit Zendguard verschlüsselt wurde. Hier hätte der Kunde das Recht, vom Programmierer den Quellcode zu verlangen und er könnte diesen auch veröffentlichen.
Eine TYPO3 Extension fällt immer automatisch unter die GPL, da ja TYPO3 selbst für die Ausführung erforderlich ist.
Nur der Ordnung halber: dies ist keine Rechtsberatung sondern nur meine persönliche Meinung.
Weitere Infos zur GPL z.B. unter http://de.wikipedia.org/wiki/Gpl

Jochen Weiland am 15. Februar 2009 um 11:05

Das ist doch die selbe Leier wie bei Firefox, als es auch hieß „der ist unsicher, da kommen ständig Bugmeldungen“. Das diese aber innerhalb von 9 Tagen gefixt und beim IE innerhalb von 284 Tagen, darüber redet keiner.
Die Lücke wurde vom Typo3 Team selbst veröffentlicht und es war eine sehr gute Erklärung + Patch anbei. Wer diese nicht einspielt und Passwörter wie „gewinner“ verwendet, na der ist selbst Schuld.

swordfish23 am 16. Februar 2009 um 11:27

Hey swordfish23,

woher kennst Du mein Passwort? 😉

Gruß
Tobi

Tobi am 16. Februar 2009 um 14:40

mal eine soziale-philosophische frage am rande…

macht es wirklich sinn, so lebenswichtige strukturen ins internet zu stellen, dass man sich ueberhaupt in ein risiko begibt?

weil das normale „ich schreib dir was auf deine seite“ sollte, sofern es sich nicht um eine seite mit zum bleistift 1.000.000.000 sozialversicherungsnummern handelt doch kein problem dar stellen.

wie wichtig ist das web ueberhaupt?

Oliver Leitner am 23. Februar 2009 um 14:51

Eine interessante Frage…
Ich würde es mal so anfangen: Willst du zum Wählen oder zum Auto anmelden, zum Autokauf, zum Wohnort-Ummelden, zum Buch-Shoppen oder zum Immobilien-Betrachten immer außer Haus gehen? Viele jedenfalls nicht. Einige bauen sich ein zweites Leben im Internet auf oder verzocken das gerade erarbeitete Geld. Und hier fängt das Problem eben an. Auf der einen Seite wird alles schneller und komfortabler aber auf der anderen Seite wird auch alles undurchschaubarer und auch unpersönlicher und irgendwie auch gefährlicher.
Wie auch immer – ich denke nicht, dass dieser Trend aufzuhalten ist – was meint ihr?

Alex Kellner am 23. Februar 2009 um 21:52
Trackbacks & Pingbacks

[…] den Meldungen der vergangenen Tagen macht so ein Skript vielleicht Sinn, oder? Und siehe da: […]

Pingback von TYPO3 Mass Updater | TYPO3 Blogger am 27. Februar 2009 um 00:12

[…] berichtete über die gehackten TYPO3-Seiten von Schalke 04 und Wolfgang Schäuble, die auch hier im Blog bereits Thema […]

Pingback von TYPO3 bei Planetopia | TYPO3 Blogger am 30. März 2009 um 10:02

Kategorien

Archiv