17 Reaktionen zu “TYPO3 Security Bugschnitzeljagd 2008”

Kommentare abonnieren (RSS) oder TrackBack URL

Hallo,

eine Schnitzeljagd ist ein lustiges Abenteuerspiel, Sicherheislücken zu stopfen ist eine ernste und diskrete Angelegenheit. Beides passt meiner Meinung nach nicht zusammen. Es sollte keinen Mann-In-Der-Mitte geben beim Reporten von Security-Issues. Dann liegen sensible Daten an mehr Orten herum, als es sein muss. Ich finde die zu Grunde liegende Idee nett (Belohnung für das Finden von Lücken), bin aber nicht begeistert vom Konzept dieser Aktion, auch weil sie nicht mit dem TYPO3 Security Team abgesprochen worden ist. Belohnen könnt Ihr Reporter von Sicherheitslücken auch, ohne ein weiteres inoffizielles Security-Team zu gründen.

Viele Grüße
Henning Pingel
Mitglied des TYPO3 Security Teams

Henning Pingel am 06. November 2008 um 13:13

Ein inoffizielles Security-Team versuchen wir mit dieser Aktion nicht zu gründen. Wir versuchen mit der Aktion bei möglichst vielen Leuten das Sicherheitsgefühl für TYPO3 zu wecken. Die Bugs werden alle an das Security-Team weitergegeben und nicht publiziert. Zudem haben Georg und ich die Möglichkeit zusätzlich schon Bugfixes mitzuliefern, weil es ja in 90% der Sicherheitsfehler Kleinigkeiten sind die behoben werden müssen.

Tim Lochmüller am 06. November 2008 um 13:21

Hi,

Warum existiert ein Security-Team (http://typo3.org/teams/security) mit einer einzigen E-Mail-Adresse, an die man Sicherhheitslücken melden kann? Weil damit eindeutig definiert ist, an wen man sich wendet. Wenn man die Feuerwehr rufen will, gibt es auch nur eine Telefonnummer, damit keine Konfusion entsteht.

Wenn ihr jetzt eine nette Aktion macht, machen nächsten Monat noch andere Community-Mitglieder ihre eigenen Aktionen, weil sie auch einen iPod rumliegen haben. Und in sechs Monaten haben wir dann 6 E-Mail-Adressen, an die die Community Sicherhheitslücken melden soll. Ist das erstrebenswert?

Ich weiß aber auch, dass Euch Sicherhheit wichtig ist und erkenne an, dass Ihr Euch dafür engagiert. Aber dafür müsst Ihr keine zweite Kontaktadresse aufmachen.

Viele Grüße
Henning

Henning Pingel am 06. November 2008 um 13:33

Hallo Henning,

ich finde es grundsätzlich auch besser, wenn es ’nur‘ eine Anlaufstelle für neue Bugs gibt.

Ich glaube aber, dass es Tim und Georg bei dieser Aktion nicht darum geht gegen das (sehr gute) TYPO3 Security Team zu wettern, sondern die Qualität der Software zu verbessern, mit der wir täglich arbeiten.

Ich verstehe daher nicht, warum es vom TYPO3 Security Team so negativ aufgenommen wird, wenn mal jemand Leute animiert nach Fehler zu suchen.

Jeder der einen Fehler findet steht es frei, den beim Security Team zu melden. Sollte bei der Aktion von Tim nun neue Sicherheitslüche gefunden werden, würde ich mich fragen, warum erst eine solche Aktion nötig ist um diese zu finden.

Am Ende haben wir doch alle was davon, wenn viele Bugs gefunden werden.

Tim hat, so denke ich, nicht die Absicht die Fehler zu sammeln und für sich zu behalten, sondern diese an euch weiter zu geben. Freut euch, dass die Anzahl der gefunden Fehlern durch diese Aktion zunimmt.

@Tim: Find die Aktion gut – mach weiter so.

Gruß
Tobi

Tobi am 06. November 2008 um 14:00

Hi Tobi,
ich habe nicht behauptet, dass irgendjemand gegen das Security-Team wettert und ich habe auch nicht gesagt, es sei negativ, Leute zur Fehlersuche zu animieren. An Qualitätsverbesserung ist eigentlich jeder interessiert. Für das Melden normaler Bugs gibt es den TYPO3-Bugtracker. Für das Melden von Security-Bugs wird dieser aber nicht verwendet, sondern es geht direkt an s.e.c.u.r.i.t.y@t.y.p.o.3.o.r.g (Punkte wegen Spamschutz).
Wir haben eine Extension-Security-Policy veröffentlicht (http://typo3.org/teams/security/extension-security-policy/), in der die Workflows und Zeitabläufe so genau wie möglich beschrieben sind. Wenn nun aber jemand anders die Sicherheitslücken in Empfang nimmt und bearbeitet, können wir die dort angebebenen Zeitabläufe und Workflows nicht einhalten, weil Tim und Georg ihre eigenen Workflows vorschalten. Deshalb nochmal: Wenn es nur um die Vergabe von iPods und Goodies geht, können wir auch andere Wege der Belohnung finden. Eine weitere E-Mailadresse zum Reporten von Sicherhheitslücken ist jedoch nicht angebracht.
Was ist, wenn der E-Mail-Account gehackt werden würde? Was ist, wenn Tim und Georg krank werden und keine Zeit haben, die Issues zu bearbeiten. Die beiden nehmen durch die Aktion eine gefährliche Verantwortung auf sich.
Viele Grüße
Henning

Henning Pingel am 06. November 2008 um 14:12

Mit dem Security-Team wurde sich jetzt dadrauf geeinigt, dass die Bugs bei denen reportet werden und wir eine Info bekommen.

Tim Lochmüller am 06. November 2008 um 15:22

Zählt Cross-Site Scripting (XSS) auch? Bei Extensions im Frontend sollte eigentlich oder?

Cyrill Helg am 06. November 2008 um 17:06

Klar… zählt auch!

Tim Lochmüller am 06. November 2008 um 17:34

Die herblassende Art des Security-Teams hier empfinde ich als absolut daneben. Anstatt einfach sich selber mit Tim und Georg in Verbindung zu setzen und das mal schnell zu klären, muss hier in Kommentaren öffentlich gelästert weren (doch so kommt es an) und von vielen Menschen singt die Bereitschaft immer mehr zu helfen, da a) entweder keine Reaktion kommt (oft genug passiert) oder b) man „angemotzt“ wird. Der Ton macht halt die Musik. Sorry jungs, aber das musste raus. Euch beiden viel Glück mit der Aktion! Marxs

Marc am 25. November 2008 um 22:46

Hallo Marc,

ich verstehe das security-Team und deren Ziele völlig, es ist bereits alles mit ihnen geklärt und es läuft wunderbar, was also nicht notwendig war, wär dein Post gewesen. Deswegen werd ich auf eine weitere Diskussion auch nicht eingehen.

such lieber bugs als dich zu ärgern 😉

Georg Ringer am 26. November 2008 um 07:47

Da die Diskussion ja schon ein wenig in die falsche Richtung entfacht ist, werde ich die Comments hier schließen. Ich hoffe ihr findet noch reichlich Bugs, denn morgen ist die Aktion zu ende. 😉

Tim Lochmüller am 26. November 2008 um 09:51
Trackbacks & Pingbacks

[…] läuft die TYPO3 Security Bugschnitzeljagd 2008. Findet Bugs in Extensions oder dem TYPO3 Core und gewinnt dabei tolle Preise. Wer genau wissen […]

Pingback von TYPO3 Security Bugschnitzeljagd 2008 | TYPO3weblog.de am 06. November 2008 um 10:17

[…] habe gerade beim typo3blogger gelesen, dass die “TYPO3 Security Bugschnitzeljagd 2008” gestartet ist. Bei dieser Jagd geht es darum möglichst viele Sicherheitsbugs in dem CMS […]

Pingback von » TYPO3 Security Bugschnitzeljagd 2008 gestartet tobi.weinhorst am 06. November 2008 um 10:37

[…] diesem Zusammenhang möchte ich auch auf unsere TYPO3 Security Bugschnitzeljagd 2008 hinweisen. Bei dieser gibt es interessante Preise für das Auffinden von Security-Bugs in TYPO3 zu […]

Pingback von Sicherheitsprobleme bei TYPO3 Extensions | TYPO3 Blogger am 11. November 2008 um 10:09

[…] Bugschnitzeljagd geht in die letzte Woche! Es wurden bereits Fehler in über 20 Extension aufgedeckt, wobei die […]

Pingback von TYPO3 Bugschnitzeljagd - Zwischenbericht | TYPO3 Blogger am 22. November 2008 um 13:40

[…] grade hat die TYPO3 Security Bug Schnitzeljagd geendet. Das Einsenden von Bugs mit dem “Schnitzeljagd”-Keyword wird nun nicht mehr […]

Pingback von Security Bug Schnitzeljagd Finish | TYPO3 Blogger am 27. November 2008 um 10:09

[…] bin ich dazu gekommen den Abschluss der Aktion zu machen. Nach anfänglichem hin und her mit dem Security Team, ist die Aktion ja dennoch […]

Pingback von TYPO3 Bug Schnitzeljagd Rückblick | TYPO3 Blogger am 08. Dezember 2008 um 00:13

Kategorien

Archiv