 Weiti :
| 16.03.2008 03:34 |
 Das eigentliche "Problem" für die eXV²-User (Admins) ist, dass diese teilweise alten Lücken auf diversen Seiten veröffentlicht werden. Dies dient in erster Linie natürlich dazu, auf die Lücken öffentlich hinzuweisen. Dass das natürlich auch nach hinten losgehen kann ist klar - aber damit müssen wir alle leben.
Viele machen sich nun einen Spass daraus, suchen nach diesen Seiten und versuchen zu "hacken" - wenn sie vielleicht noch sogar Erfolg damit haben, klopfen sie sich auf die Schulter und finden sich dann als ganz große Hechte mit irgendeinem Pseudonym in irgendeinem Forum wieder. Und berichtem von ihren tollen Erfolgen - zum Leidwesen anderer.
Eines muss jedoch auch gesagt werden: das betrifft jedoch nicht nur eXV² sondern alle mögliche CM-Systeme, Foren und andere PHP-Scriptseiten und viele andere.
Sobald das eXV²-Team auf eine mögliche Sicherheitslücke aufmerksam gemacht wird, oder Wind davon bekommen sollte, erarbeiten wir so schnell wie möglich einen Fix für dieses Problem - großen Dank gebührt hier immer Nobse und bama, die dann unermüdlich diese Lücken suchen und auch bisher immer geschlossen haben. Diese beiden zollen meinen größten Respekt für ihre unermüdliche Arbeit und das System immer leistungsfähiger und trotzdem auch übersichtlicher weiter zu entwickeln und das für uns alle, ohne auch nur einen Cent dafür zu verlangen.
Zurück zum Thema  :
Kurz darauf veröffentlichen wir ja ein Sicherheitsupdate, das jeder Webmaster der eXV² einsetzt, sofort einspielen sollte. Wir geben dies immer auf der eXV²-Entwicklerseite und dem Filecenter bekannt und versenden in der Regel auch einen zusätzlichen Newsletter, um euch schnell darüber zu informieren, dass Sicherheitsupdate so schnell wie möglich einzuspielen.
Wer das natürlich versäumt oder manchmal auch meint, es sei für ihn nicht wichtig, hat hier halt immer noch diese Lücke(n) und gefährdet damit seine Installation. Lücken wird es immer irgendwo geben - von handelsüblicher Software die millionenfach eingesetzt wird, mal gar nicht geredet. Da gehört das schon fast zur Tagesordnung.
Den Vorteil, den solche Seiten jedoch mit diesen Veröffentlichung natürlich bringen (sollten) ist, uns auf eine solche Schwachstelle aufmerksam zu machen und Gegenmaßnahmen zu ergreifen. Das andere dann diese Veröffentlichung bis zum Abwinken auf zig-Seiten ausprobieren, finden wir natürlich auch nicht gerade lustig, teilweise sogar schon mit entsprechenden Automatismen, finden wir genauso "uncool" - können aber auch nichts dagegen tun.
Irgendwann wird das schon wieder aufhören - spätestens dann, wenn alle älteren eXV² CM-Systeme auf der neuen und derzeit sicheren eXV² 2.06 laufen und diese ganzen Versuche sowieso dann ins Leere laufen und wir weiterhin an Stabilität und Sicherheit weiterarbeiten werden. Ein Problem sind auch hier teilweise alte Module, die noch nicht auf die neue Version angepasst wurden - aber nach und nach wird sicher auch hierfür eine Lösung gefunden werden.
Habt einfach Geduld und versucht mit der Benachrichtigung zu leben. Vermutlich wird in der nächsten Version die Möglichkeit bestehen, dies auch komplett abzuschalten - nur bekommt ihr dann von den Angriffen dann auch nichts mehr mit.
Als Admin von mehreren Seiten und der Verantwortung meiner User gegenüber möchte ich auf diesen Service, wenn er im Moment auch fast allen Seiten minütlich ausgelöst wird - nicht mehr verzichten. Das sollte euch auf jeden Fall bewusst sein. Ich selbst habe auch schon ein sehr großes bekanntes Forensystem eingesetzt und fast monatlich stand ein Update ins Haus - nur um das System dicht zu machen. Einmal versäumt - SUPER-GAU- Datenbank war leergeräumt und mit Müll gefüllt. Diesen Albtraum habe ich, seit ich damals schon e-xoops bis zur heutigen eXV² 2.06 eingesetzt habe, noch nie erlebt, da das Team bisher immer sehr schnell reagieren konnte.
Seit also alle bemüht, euer System up-to-date zu halten, auch wenn es etwas Zeit und Arbeit kostet und gebt uns bitte immer genug Feedback, was wir besser machen können, oder wenn es irgendwo mal klemmen sollte, weil etwas beim Updaten nicht so geklappt haben sollte. Eine kurze Beschreibung was passiert ist und vorallem wo - die URL zu eurer Installation ist für einen guten Support von unserer Seite aus, die wichtigste Anlaufstelle.
Wir sind stets bemüht, auch wenn wir nur ein kleines Team sind, euch immer wenn möglich zur Seite zu stehen. Viele haben diese Erfahrung schon gemacht, dass wir gerne zur Hilfe bereit sind und euch nicht alleine stehen lassen. Aber habt auch Verständnis dafür, dass wir dies alles in unserer knapp bemessenen Freizeit schon seit Jahren tun und auch unsere Brötchen mit anderen Dingen verdienen müssen.
Dirk alias Weiti
Mitglied des eXV²-Teams |
|
|
Home
News
Archiv
Forum
Hacker
)
