Wichtige Hinweise für Modulautoren

[FrankH]

http://www.websitebaker2.org/forum/index.php/topic,20531.msg138956.html

Falls du Modulautor bist und noch keinen Zugriff hast, kannst du kweitzel um Zugriff auf das Entwickler-Board bitten.

[Hans Toolbox]

Tolle Logik
Das Thema dass Sie anschauen möchten, existiert nicht oder ist für Sie nicht einsehbar.

[FrankH]

Ja so ist das bei geschlossenen Gruppen (siehe den Satz unter dem Link)
Es ist einfach so, daß es Infos zu Sicherheitslücken gibt, die man unmöglich veröffentlichen kann, bevor die Lücken gepatcht sind. Daher nur Zugriff für Modulautoren, damit die umgehend patchen können.
So wie ich das mittlerweile sehe, gibt es nur 2 Möglichkeiten, Wb 2.8.1 sicher zu machen:

• Upgrade auf 2.8.2, sobald verfügbar (die nächste sog. RC5 sollte schon ganz gut funktionieren)
• Den Webserver ausschalten

Und das ist wirklich ernst gemeint!
Es gibt Module (momentan auch noch von mir), damit kann sich ein gewiefter User in WB < 2.8.2 ohne Backendzugang ALLES anzeigen lassen, selbst das Kennwort für die DB. Bin gerade am patchen...

[Hans Toolbox]

Als "normaler" Forennutzer erwarte ich nach Klicken des Links eine Info über diesen Prozeß:
"......und noch keinen Zugriff hast, kannst du kweitzel um Zugriff auf das Entwickler-Board bitten."
und nicht die nackte Logik der Forenberechtigungen . Sowas ist nicht kommunikationsfördermd und hat nichts mit der Vorsicht gegenüber unautorisierten "Störern" zu tun.

Was die Sicherheit von Modulen betrifft, habe ich meine Anwender davor gewarnt "irgend etwas" ohne vorherige Prüfung zu installierenm weil WB-Module direkt in die Hölle führen können. Aber die Protestanten hier im Norden sind damit nicht so recht zu beeindrucken. Also wissen die jetzt: Das kostet, wird (Folgekosten) sehr teuer... Das verstehen sie. 

Der unsichere Zustand war übrigens ein Argument für eine Fork, bei dem nur soviel geändert wurde, daß ein Gebrauch von Modulen aus dem Repo usw. verhindert wird.

[FrankH]

Was die Sicherheit von Modulen betrifft, habe ich meine Anwender davor gewarnt "irgend etwas" ohne vorherige Prüfung zu installieren.

Na dann besteht ja keine Gefahr, dann haben sie ja WB gar nicht installiert 
(Sorry, bei der Vorlage konnte ich nicht widerstehen  )

[testör]

Na dann schauen wir mal, wie lange stille Störenfriede brauchen, bis sie sich den Zugang verschafft haben und dann auf weniger schönen Seiten Internas verbreiten. Bei der Vorlage verlangt es das ja geradezu (auch das finde ich nicht jut, aber wir wissen doch alle, was es in der WB Geschichte so alles gab).
Geschlossene Foren für Community Mitglieder halte ich nach wie vor bei OpenSource (open = engl. offen) für falsch.

[Hans Toolbox]

Sorry, bei der Vorlage konnte ich nicht widerstehen

Die hätte ich auch genommen  

WB selbst wird bei denen (Anwendern) mit einigen Neuerungen aus 2.9 + und weiteren Sicherungen beglückt.
Wie o.a. bezieht sich der "Rest" dann auf Module etc.

Gratulation übrigens für die  neu entdeckten Lücken und gemachten Fixes bzgl Droplets.
Sowas findet dann auch Eingang in 2.9, denn allein neue Methoden werden die Defizite bei alten Modulen nicht komplett lösen können. Deshalb wohl auch die geschlossene Gruppe

[FrankH]

Geschlossene Foren für Community Mitglieder halte ich nach wie vor bei OpenSource (open = engl. offen) für falsch.

Na das sehe ich auf Grund meiner Lebenserfahrung anders.
OpenSource (source = engl. Quelltext) - und der ist ja offen. Sicherheitslücken werden dagegen in keinem bedeutenden Projekt öffentlich diskutiert, denn erfahrungsgemäß ist der gewiefte Hacker klüger und schneller als der durchschnittliche Modulautor. Deswegen brauchen die Modulautoren einen Informationsvorspru ng, dessen Zugriff ich hiermit angeboten habe.

[FrankH]

Gratulation übrigens für die  neu entdeckten Lücken ...

Nun ja, es gibt eine Reihe von Sicherheitsexperten, die ihre Erkenntnisse an die Entwickler weitergaben, und das wird nun alles aufgearbeitet.

[Hans Toolbox]

Wobei der Schutz vor registrierten Nutzern bei meinen Anwendern bisher "außen vor" stand, auch wenn Vertrauen nicht Sicherheit bedeutet. Haste aber einen dabei der rumspielt ist das Ergebnis u.U. das befürchtete.

Ach ja, da stellt man sich die Frage warum es nicht ein PHP-(code)Modul mit Restriktionen gibt, also Script ja, aber DB-Zugriff nö z.B. Allein mit der Rechtevergabe läßt sich nicht alles lösen

[FrankH]

Wobei der Schutz vor registrierten Nutzern bei meinen Anwendern bisher "außen vor" stand,

Das Problem betrifft jeden anonymen User, der lediglich Zugriff auf das Frontend hat!

[Hans Toolbox]

Das Problem betrifft jeden anonymen User, der lediglich Zugriff auf das Frontend hat!

Wie schon gesagt: Nicht ohne meinen Admin.
(der dann individuell prüft und oft "eigenständige" Apps einbindet, die separat betreut/verwaltet werden, was wir schon bei WB 2.7 so gemacht haben) Zumal die  "eigenständigen" Apps nicht nur ausgiebig getestet sind, sondern meist auch noch schöner aussehen  
Da man mit WB hier sehr flexibel agieren kann, ist WB schon ein tolles CMS. Hoffe/n ich/wir, daß es nicht zu Tode gesichert wird...
Hauptsache Core und die Grundmodule für's Schreiben (WYSIWYG, News, Form) und mein geliebtes Code2 sind/kommen in Ordnung.
Je früher die Modulautoren nachziehen, um so besser. Aber viele schöne Leichen werden wohl nicht in den Glassarg kommen, um wieder erweckt zu werden.

[BlackBird]

Ich kann auf das Forum nach wie vor nicht zugreifen. Auf Nachfrage (schon länger her) wurde ich auf das phpBB-Update vertröstet. Das wurde aber jetzt verschoben. Daher mal die Frage: Was ist denn eigentlich jetzt mit dem Modulautoren-Forum? Gibt's da überhaupt Aktivität?

[kweitzel]

@Bianka,

probierst Du bitte nochmal?


@all
Sorry, da ich immer noch kein I-Net in unserer neuen Residenz habe (Danke Telekom!), dauert bei mir alles noch ein wenig länger ...

Gruß

Klaus