Seite 1 von 1
Was tun bei sicherheitskritischen Fehlern in Modulen?
Verfasst: So 5. Nov 2006, 19:58
von schlaucher
Hallo Contenido Community,
Ich möchte gerne ein Thema zur Diskusion stellen, welches alle hier im Forum betrifft:
Beim Test eines Moduls, welches schon länger Zeit hier im Forum existiert, habe ich eine Sicherheitslücke entdeckt, die weitreichende Folgen für eine Präsentation mit diesem Modul haben kann.
Nach Rücksprache mit den Moderatoren möchte ich nun Eure Meinung wissen, wie man in so einem Fall weiter vorgehen soll.
1.) Ich poste den Fehler ins Forum, auch auf die Gefahr hin, dass dies von Dritten ausgenutzt wird.
2.) Ich nenne das Modul und den Lösungsansatz, wobei das Punkt 1 recht nahe kommt.
3.) Man ändert nur den Code in den Forenbeiträge und verhält sich an sonsten ruhig?
4.) Man nennt nur das Modul und Betroffene können sich melden?
Wie ist Eure Meinung dazu?
Verfasst: So 5. Nov 2006, 20:33
von wosch
Hallo schlaucher,
Kompliment für dein Post.
Meine, nicht maßgebende, Meinung dazu:
Wenn 100% klar ist das es ein Sicherheitsrisiko ist:
nennen aller Fakten, auch die Lücke, offen im Forum,
nur so können andere lernen und zukünftig diese Lücke vermeiden.
Diese Lücke, egal wie gefährlich sie ist, wird erst dann zur allgemeinen Gefahr wenn sie in bestimmten Kreisen allgemeingut ist.
Und allgemeingut wird sie nur wenn sie nur einigen wenigen bekannt ist,
und wenn bei anderen Modulen der gefährliche Code wieder verwendet wird kommt es zu einem Teufelskreis der nicht unterbrochen werden kann.
Offenheit ist immer eine gute Vermeidungsstrategie.
Aber nur meine unmaßgebliche Meinung dazu.
Verfasst: So 5. Nov 2006, 21:49
von Seelauer
Hallo Schlaucher,
danke für den Hinweis.
Meiner Meinung nach "Augen zu" und durch
und hier offenbaren.
Hier wird die gesamte interessierte Contenido-Gemeinde erreicht. Und dazu gibt es dann sicher, wie so oft, hilfreiche Beiträge.
Verfasst: So 5. Nov 2006, 22:22
von i-fekt
Poste alles mal.
Verfasst: Mo 6. Nov 2006, 09:12
von kummer
unbedingt posten! dann können alle betroffenen einen update vornehmen. ganz verschleiern wird ohnehin nie gelingen. deshalb besser so offen, dass alle, die es benutzen, es auch erfahren.
Verfasst: Mo 6. Nov 2006, 16:37
von stony
wenn sich wirklich jemand damit beschäftigt lücken zu finden wird es wohl auch schon gefunden haben! Also her mit dem Bugfix!!!
Verfasst: Mo 6. Nov 2006, 17:20
von stese
und bitte auch den eigentlichen autor per pm/mail oder sowas benachrichtigen - zur not kann ein moderator das eigentliche modul aus dem forum entfernen - wenn die sicherheitslücke wirklich kritisch ist und kein update verfügbar ist
Verfasst: Mo 6. Nov 2006, 19:54
von schlaucher
O.k.
Ich denke auch, dass es das Beste ist, die Sicherheitslücke zu nennen, wollte aber auch noch mal Eure Meinung wissen.
Hier das Posting:
http://contenido.org/forum/viewtopic.php?p=91168#91168
Gruß
schlaucher
Verfasst: Mo 6. Nov 2006, 21:05
von Halchteranerin
stese hat geschrieben:und bitte auch den eigentlichen autor per pm/mail oder sowas benachrichtigen - zur not kann ein moderator das eigentliche modul aus dem forum entfernen - wenn die sicherheitslücke wirklich kritisch ist und kein update verfügbar ist
Das Problem ist, dass agons Modul betroffen ist. agon ist aber kein Mitglied mehr und seine Postings lassen sich aus mir unerfindlichen Gruenden nicht editieren.
Verfasst: Mo 6. Nov 2006, 22:48
von stese
cool. da muss ein admin her ;) ich liebe das phpbb (ironie aus.)
Verfasst: Di 7. Nov 2006, 00:18
von HerrB
Wurde mir der Link schon mal geschickt?
Gruß
HerrB
Verfasst: Di 7. Nov 2006, 13:08
von Halchteranerin
HerrB hat geschrieben:Wurde mir der Link schon mal geschickt?
Ja, der Herr.
