Seite 1 von 1

Contenido wird von siwecos.de als unsicher eingestuft.

Verfasst: Mo 14. Mai 2018, 16:58
von Freddy
Hallo Contenidoexperten,
die Webseite von siwecos.de die für mehr Sicherheit im Web helfen möchte stuft meine Contenido 4.9.12 als unsicher ein.
Ich dachte bisher, dass es halbwegs sicher ist bzw. das man die Lücken schnell schließt.
Muss ich was spezielles machen damit es sicherer wird? Ein System zu nutzen welches grundsätzlich als unsicher eingestuft wird ist irgendwie nicht so prickelnt.
Contenido_unsicher.jpg
(101.46 KiB) Noch nie heruntergeladen

Re: Contenido wird von siwecos.de als unsicher eingestuft.

Verfasst: Mo 14. Mai 2018, 18:21
von Faar
Contenido ist sicher und hat die Lücken geschlossen.
Diese Seite ist nicht gut informiert und schreibt schönsten Stuss, weil sie von Contenido keine Ahnung haben.

Re: Contenido wird von siwecos.de als unsicher eingestuft.

Verfasst: Mo 14. Mai 2018, 18:40
von Oldperl
Servus,

nun
Faar hat geschrieben:
Mo 14. Mai 2018, 18:21
...schreibt schönsten Stuss, weil sie von Contenido keine Ahnung haben.
Würde ich so nicht sagen. Es gab in der 4.9er in älteren Versionen tatsächlich Sicherheitslücken, diese wurden geschlossen. Die Version als Meta-Tag anzuzeigen ist grundsätzlich ein Sicherheitsrisiko, wobei CONTENIDO nur die ersten 2 Stellen der Versionsnummer öffentlich macht, die vakante dritte Stelle aber verschweigt. Dies ist dann auch der Grund, warum die Meldung wegen den Sicherheitslöchern kommt, da hier die Testseite nur anhand der ersten zwei Stellen die Version erkennt und so bekannte Fehler nicht korrekt zuordnen kann.

Gruß aus Franken

Ortwin

Re: Contenido wird von siwecos.de als unsicher eingestuft.

Verfasst: Mo 14. Mai 2018, 18:54
von Faar
Oldperl hat geschrieben:
Mo 14. Mai 2018, 18:40
wobei CONTENIDO nur die ersten 2 Stellen der Versionsnummer öffentlich macht, die vakante dritte Stelle aber verschweigt. Dies ist dann auch der Grund, warum die Meldung wegen den Sicherheitslöchern kommt, da hier die Testseite nur anhand der ersten zwei Stellen die Version erkennt und so bekannte Fehler nicht korrekt zuordnen kann.
Also Stuss.
Oder wie man sagt, Oberstuss.
Wer keine Ahnung hat, sollte keine Sicherheitsratschläge geben.

Re: Contenido wird von siwecos.de als unsicher eingestuft.

Verfasst: Mi 16. Mai 2018, 13:21
von rethus
Also ich finde die Angabe schon berechtigt. Contenido hat keine wirklichen Sicherheitsupdates wie andere Systeme.
Bei Contenido geht man einfach hin und sagt... das wird in der nächsten Version gefixt. Auch werden Schwachstellen weder offen kommuniziert noch gewichtet. In der Regel wird daran rumgebastelt, bis es wieder passt und fließt dann einfach in die nächste Version ein.

Somit erfährt man gar nicht erst, ob ein kritischer Bug im System ist, wenn man es nicht durch Zufall (oder akribischer Recherche) im Forum selbst raussucht.

Fakt ist, das in den Versionen von 4.9.6 - 4.9.9 ein Bug existiert, der dich beliebigen Code ausführen lässt. Auch dieser wurde "in den Versionen" nie gefixt und - um bestehende Systeme nicht noch angreifbarer zu machen - nie so richtig Kommuniziert (was aufgrund der fehlenden Update-Strategie wohl erstmal das Sinnvollste ist).

Unterm Strich würde ich als Sicherheitsberater aufgrund obiger Update-Strategie (oder besser fehlender Updatestrategie) dem CMS Contenido grundsätzlich einen Abzug in Sachen Sicherheit & Verlässlichkeit geben.

Re: Contenido wird von siwecos.de als unsicher eingestuft.

Verfasst: Mi 16. Mai 2018, 14:44
von Faar
rethus hat geschrieben:
Mi 16. Mai 2018, 13:21
Also ich finde die Angabe schon berechtigt.
:shock:
Contenido hat keine wirklichen Sicherheitsupdates wie andere Systeme.
Doch.
Oder wo warst Du, als 4.9.12 heraus kam?
viewtopic.php?f=25&t=36936
Bei Contenido geht man einfach hin und sagt... das wird in der nächsten Version gefixt.
viewtopic.php?f=25&t=36936
Auch werden Schwachstellen weder offen kommuniziert noch gewichtet.
4.6.23 --> 4.6.24
4.8.14 --> 4.8.15
In der Regel wird daran rumgebastelt, bis es wieder passt und fließt dann einfach in die nächste Version ein.
Moment mal, schreibst du hier gerade über Contenido oder über Joomla und Dergleichen?

Somit erfährt man gar nicht erst, ob ein kritischer Bug im System ist, wenn man es nicht durch Zufall (oder akribischer Recherche) im Forum selbst raussucht.
Fakt ist, das in den Versionen von 4.9.6 - 4.9.9 ein Bug existiert
Wir haben 4.9.12 und bald 4.9.13
Unterm Strich würde ich als Sicherheitsberater aufgrund obiger Update-Strategie (oder besser fehlender Updatestrategie) dem CMS Contenido grundsätzlich einen Abzug in Sachen Sicherheit & Verlässlichkeit geben.
Was bin ich froh, dass ich dich nicht als Sicherheitsberater habe.
Seit den Versionen von 4.6.23 und 4.8.14 habe ich es nicht mehr erlebt, dass aufgrund von Contenido jemand in das System hätte eindringen können.
Aber ich kenne andere Systeme, die man so oft updaten kann wie man will, man findet die Seiten immer wieder mal gehackt.

Re: Contenido wird von siwecos.de als unsicher eingestuft.

Verfasst: Mi 16. Mai 2018, 18:18
von Oldperl
Servus,

danke Frank, Du hast mir das Wort aus dem Mund genommen! :roll:
Zehn mal lieber Contenido als Wordpress, Joomla und Co. :!:

Gruß aus Franken

Ortwin

Re: Contenido wird von siwecos.de als unsicher eingestuft.

Verfasst: Fr 18. Mai 2018, 08:42
von rethus
Faar hat geschrieben:
Mi 16. Mai 2018, 14:44

Oder wo warst Du, als 4.9.12 heraus kam?
viewtopic.php?f=25&t=36936
Ja, stimmt teils, teils... Hab gestern wohl etwas auf der Leitung gestanden und es schlecht formuliert.
Weil die Updates nach bekannt werden von Lücken meist länger auf sich warten ließen hat sich so das Gefühl von schlechter Update-Politik verfestigt. Man hatte das Gefühl, das immer nur Major-Releases aktualisiert wurden, und das Oldperls Fork von Contenido weitaus aktueller war, als Contenido selbst.
Man wusste immer, wenn Contenido updaten, dann wird das eine "Aktion". Nicht wie bei anderen Systemen mit integriertem Patchsystem mit wenig Aufwand (vielleicht ein Klick) zu bewerkstelligen ist. Also ja, es gab updates.

So ganz treffend ist dein heroischer Verweis auf die 4.9.12er auch nicht... denn sei mal ehrlich, wo bitte sind denn die ganzen Updates und Patches die seit 4.9.12 - welches wohlgemerkt im OKTOBER 2016 heraus kam - zu finden? Und die absolute Blütezeit von Contenido-Updates war wohl zwischen 4.9.9 und 4.9.12. Hier war es richtig rege, mit 4 Updates im Jahr.
Und wenn du mir jetzt mit dem Einwand kommst, das Contenido seit 4.9.12 so ausgereift ist, das es Fehlerfrei sei, müsste ich an deinen Entwickler-Qualitäten & Berufserfahrung zweifeln (was ich nicht tue).

Faar hat geschrieben:
Mi 16. Mai 2018, 14:44

Seit den Versionen von 4.6.23 und 4.8.14 habe ich es nicht mehr erlebt, dass aufgrund von Contenido jemand in das System hätte eindringen können.
Da kannst du aber nur vom Glück reden. Habe hier schon so einige Contenido Systeme nach einem Hack repariert.
Und das - versionstechnisch - Quer durch den Garten.. ab 4.6. (Wobei eine 4.9.12 hatte ich noch nicht dabei :wink: )
Faar hat geschrieben:
Mi 16. Mai 2018, 14:44
Was bin ich froh, dass ich dich nicht als Sicherheitsberater habe.
Um nun noch einmal auf die Security-Bewertungs-Seite zurück zu kommen. Wie bitte, soll man Sicherheitstechnisch ein System einstufen, das seit 2016 nicht aktualisiert wurde? Ich betone noch einmal 2 0 1 6 (Ergänzungen über Schnelllebigkeit der IT, und welche Halbwertzeit Software hat, die sich "aktuell" schimpft spare ich mir hier).
- Ich bin kein Sicherheitsberater, aber wahre mir den "objektiven" Blick auf Fakten, um ein System zu beurteilen... ohne ein System aufgrund meines eigenen Empfindens (weil ich es mag und es mir lieber ist als Joomla oder Wordpress) mit Vorschusslorbeeren zu überhäufen.

Ja, ich mag Contenido und arbeite auch damit.
Ja ich würde mich freuen, wenn Contenido zu neuem Leben erwacht.
Ja ich leiste gerne einen Anteil.
Aber, das ist aus meiner Sicht kein Grund in Sachen "realistische Gefahreneinschätzung" die Fakten zu ignorieren.

Hier also zusammenfassend Fakten zur Entscheidungsfindung:
  • Letztes Update 10/2016
  • Community-Aktivitätslevel (entscheidet selbst)
  • Git-Commits (im Development-Branch einige vorhanden... auch seit 2017, in 2018 2.Stck.), im Masterbranch= Stand 2016
  • EntwicklerTeam bei 4fb - Fredderic Schneider (1 Entwickler, meines Wissens betreut er Contenido nur als "Zusatzaufgabe" [verbessere mich bitte wenn ich falsch liege] (so zu sagen der letzte, der das Feuer nicht ausgehen lässt [Danke dafür Fredderic]
  • BTW: Die Anfrage eines aktiven Forenmitglieds: viewtopic.php?f=113&t=43033 :lol:
Die Antwort darauf, wie man nun die Sicherheit einer Software mit obigen Fakten einstuft, mag sich jeder selbst geben.
Ich rate nur dazu gerade in Sachen Sicherheit der Objektivität den höchsten Stellenwert zu geben und über den Tellerrand zu blicken.

Re: Contenido wird von siwecos.de als unsicher eingestuft.

Verfasst: Fr 18. Mai 2018, 10:07
von Faar
rethus hat geschrieben:
Fr 18. Mai 2018, 08:42
und das Oldperls Fork von Contenido weitaus aktueller war, als Contenido selbst.
Der sitzt auch sehr viele Stunden da dran, sagen Gerüchte. :shock:
Man wusste immer, wenn Contenido updaten, dann wird das eine "Aktion". Nicht wie bei anderen Systemen mit integriertem Patchsystem mit wenig Aufwand (vielleicht ein Klick) zu bewerkstelligen ist. Also ja, es gab updates.
Also das ist heikel.
Ich brauche für ein Contenido Update innerhalb von 4.8.x oder 4.9.x so zwischen 30 Minuten und 1 Stunde, mit Datensicherung von Web und DB.
Wenn ich Wordpress update, geht das wohl per Klick (gestern Abend kam Version 4.9.6 raus, mit DSGVO Anpassungen), aber immer mit einem schlechten Gefühl im Bauch, wenn nicht vorher eine Datensicherung gefahren wurde. Bei mir kann ich das ja machen, dann ist mein Blog vielleicht zerschossen aber bei Kunden kann ich keinen Klick riskieren ohne Sicherung. Und dann relativiert sich das wieder von der Zeit her.
Und ja, seit einem Update ist das Theme eines Blogs zerschossen, geht nicht mehr zu reparieren, muss neues Theme her...
Aufwand: Was kostet ein neues individuelles Wordpress Theme? (nein, keines vom Katalog)

Und jetzt steht mir ein Wordpress Update von einem Multilanguage-Multiblog bevor, wegen der DSGVO. Ganz heikel... :(
Davor aber noch zwei Updates vermutlich, von Contenido 4.8.18 auf 4.8.20
Und wenn du mir jetzt mit dem Einwand kommst, das Contenido seit 4.9.12 so ausgereift ist, das es Fehlerfrei sei, müsste ich an deinen Entwickler-Qualitäten & Berufserfahrung zweifeln (was ich nicht tue).
Ich werde mich hüten, das zu behaupten.
Es stimmt, seit der 4.9.12 geht es sehr langsam...
Da kannst du aber nur vom Glück reden. Habe hier schon so einige Contenido Systeme nach einem Hack repariert.
Seit 4.6.24 und 4.8.15 ist Ruhe, keine Hacks mehr.
In 4.9.x noch gar nichts.
Um nun noch einmal auf die Security-Bewertungs-Seite zurück zu kommen. Wie bitte, soll man Sicherheitstechnisch ein System einstufen, das seit 2016 nicht aktualisiert wurde?
Als sicher.
Denn jede neue Entwicklung macht ein ausgereiftes und sicheres System wieder von neuem unsicher.
Wordpress ist ständig immer wieder unsicher, da ständig und stets weiterentwickelt wird (und nicht unbedingt immer zum Guten).
Bei Joomla wüsste ich gar nicht, ob das jemals sicher war, egal welcher Versionen. Darum mache ich damit nichts mehr.
Typo3 war im Core relativ sicher, aber die ganzen Extensions haben diese Sicherheit wieder aufgehoben.
Bei Contenido liegt es im wesentlichen an den externen Modulen und Plugins, ob es sicher ist oder nicht.
Ich habe Module gesehen, die in etwa so programmiert sind:

Code: Alles auswählen

if($_GET){
   $sql = "...".$_GET['dingens']."...";
}
Das hat dann nichts mehr mit Contenido selbst zu tun, warum da was hackbar ist, aber am Ende ist natürlich eine Contenido-Webseite betroffen.
- Ich bin kein Sicherheitsberater, aber wahre mir den "objektiven" Blick auf Fakten, um ein System zu beurteilen...
Ich auch und ich sehe, dass ich Contenido deutlich besser absichern kann als z.B. Wordpress.
Ich installiere Contenido meistens so:
Domain.tld --> /cms
sub1.domain.tld --> /contenido
sub2.domain.tld --> /setup

Dadurch kommt man mit der domain.tld schon mal nicht mehr an das Backend-Login. Man muss dazu die Subdomain wissen.
Natürlich kann ein Bot alle Kombinationen aus Subdomains ausprobieren, bis eine passt, aber dann kann ich immer noch eine htpasswd-Sicherung davor schalten, falls es zu heikel wird.
Und das Setup kann ich je nach belieben abtrennen vom Netz oder auf ein leeres Verzeichnis laufen lassen.
Und an /data oder anderes Zeuch muss man vom Web aus gar nicht dran in der Regel. Dafür gibts dann sftp.
Diese Anordnung geht bei Contenido, weil es parallel aufgebaut ist, bei Wordpress nicht.
Ja ich würde mich freuen, wenn Contenido zu neuem Leben erwacht.

Gerade jetzt mit der DSGVO stelle ich fest, wie gut wieder Contenido ist.
Hab gestern beim Oberdatenschützer Jan Albrecht, der scheints Hauptverantwortlicher für diese DSGVO ist, in seinem Wordpress-Blog festgestellt, dass dieser auf jqueryui->googleapis.com verweisen will, ohne dass dieses auf der Datenschutzerklärung von ihm erklärt werden würde.
Höchstwahrscheinlich hat irgendein Plugin eine spezielle jqueryui Zusammenstellung gebraucht und diese über die Googleapis eingebunden.
Das geht so schnell per Mausklich, dass man ein Plugin dort installiert hat, das sich extern Zugriff verschafft und schon ist die Datenschutzerklärung veraltet. (mittags hatten sie das bereits entfernt, also hat jemand meine Botschaft gelesen)
Bei Contenido gibts das nicht, weil es keine Module per Mausklick zum installieren gibt.
Man muss bei Contenido wissen was man tut und weiß es meistens.
Jetzt würde die Stunde von Contenido schlagen.
Ja ich leiste gerne einen Anteil.
Ich auch, kam aber noch nicht dazu, für den Core was zu machen. Das ist aberauch recht komplex und mit Git kenne ich mich noch nicht aus.
[*] Community-Aktivitätslevel (entscheidet selbst)
Ich bin fast jeden Tag hier drin :roll:
[*] EntwicklerTeam bei 4fb - Fredderic Schneider (1 Entwickler, meines Wissens betreut er Contenido nur als "Zusatzaufgabe" [verbessere mich bitte wenn ich falsch liege] (so zu sagen der letzte, der das Feuer nicht ausgehen lässt [Danke dafür Fredderic]
Sieht momentan so aus, darum sollten wir ja das mal übernehmen.
Die Antwort darauf, wie man nun die Sicherheit einer Software mit obigen Fakten einstuft, mag sich jeder selbst geben.

Gute Software ist nicht automatisch schlecht oder unsicher, das Problem sind eher die fortschreitenden Versionen von MySQL und PHP, die eine weiterentwicklung notwendig machen.
Ich habe noch eine 4.6.24 bei einem Kunden, die immer noch gut läuft und nie gehackt wurde in all den Jahren.
Ich rate nur dazu gerade in Sachen Sicherheit der Objektivität den höchsten Stellenwert zu geben und über den Tellerrand zu blicken.
Ich mach ja nicht nur Contenido, aber das halt am liebsten, weil ich über den Tellerrand schaue und geschaut habe und sehe, was anderswo verbockt wird.
Wusstest Du, dass seit der 4.9 von Wordpress man den internen Code-Editor teils gar nicht mehr verwenden kann, weil da eine Nanny-Funktion vorgeschaltet wurde? Man könnte ja durch Änderung am Theme die Seite zerschießen und solle das doch bitte per FTP machen.
Ja toll, wenn man gerade mal kein FTP Zugang hat aber Superadmin im Blog ist.

So, hab neue Mails, muss entscheiden was davon ich zuerst machen.
...vielleicht Espresso. :?

Re: Contenido wird von siwecos.de als unsicher eingestuft.

Verfasst: Fr 18. Mai 2018, 18:42
von Oldperl
Servus,

macht euch mal keinen Kopf und schlagt euch den schon gar nicht ein. Contenido ist eines der sichersten CMS, die ich kenne. Und solche Aussagen
rethus hat geschrieben:
Fr 18. Mai 2018, 08:42
Wie bitte, soll man Sicherheitstechnisch ein System einstufen, das seit 2016 nicht aktualisiert wurde? Ich betone noch einmal 2 0 1 6 (Ergänzungen über Schnelllebigkeit der IT, und welche Halbwertzeit Software hat, die sich "aktuell" schimpft spare ich mir hier).
sollte man vielleicht erst einmal selbst überdenken.
Denn eine sicherheitstechnische Einstufung hat damit nur sehr wenig zu tun. Und auch allzu häufige Sicherheits-Patches zeigen doch nur, dass, da sie benötigt werden, das vorher programmierte System wohl nicht so ganz das sicherste war.

Mir sind nur sehr wenige Male in meinen langen Jahren bekannt geworden, wo es definitiv Sicherheitslücken bei Contenido gab, allzu oft selbstfabrizierte. Zumeist war es so, wie Frank es sagte, dass es sich um schlecht abgesicherte Module oder Plugins gehandelt hat, und oftmals saß auch das Sicherheitsrisiko einfach vor dem PC.
Es hat aber seine Gründe warum ich so viele Jahre schon auf Contenido setze, egal was alles im Umfeld passierte. Und es hat genauso seine Gründe warum ich für 4.8 einen Fork mit meiner ConLite etabliert habe, auf den momentan immer mehr Nutzer von einem alten 4.8.x zurückgreifen.

Keine Ahnung wie oder was noch bei 4.9 geht in Zukunft. Ich hatte da bereits zugesagt auch wieder aktiver in der Entwicklung zu helfen. Aber momentan ist Funkstille aus Richtung OF, und ich werde keinem mehr hinterherlaufen. Da kümmere ich mich lieber in meiner begrenzten Freizeit um die ConLite, deren Forum und die noch recht überschaubare Portalseite dazu. Vielleicht ziehe ich sie ja doch noch in ein öffentliches GIT um, oder mach selbst eines auf meinem Server.

So, und nun hört auf zu unken! Ich halte 4.9 für ein recht sicheres System, es kommt halt immer darauf an was man damit macht und wie man zusätzliche Funktionen implementiert.

Gruß aus Franken

Ortwin

Re: Contenido wird von siwecos.de als unsicher eingestuft.

Verfasst: Sa 19. Mai 2018, 17:02
von rethus
Faar hat geschrieben:
Fr 18. Mai 2018, 10:07
So, hab neue Mails, muss entscheiden was davon ich zuerst machen.
...vielleicht Espresso. :?
Espresso ist immer die richtige Antwort in der Programmierung. Ist wie die 42 bei der Frage nach "dem Leben, dem Universum und dem ganzen Rest". :D

Re: Contenido wird von siwecos.de als unsicher eingestuft.

Verfasst: So 20. Mai 2018, 09:45
von mattmarr
Hallo Faar!
Faar hat geschrieben:
Fr 18. Mai 2018, 10:07
Ich brauche für ein Contenido Update innerhalb von 4.8.x oder 4.9.x so zwischen 30 Minuten und 1 Stunde, mit Datensicherung von Web und DB.
Ernsthaft?
Da hast Du aber nicht das updaten aller Module aus 4.8.x mit eingerechnet, oder?
Bei mir geht schon mal ein ganzer bis zewi Arbeitstage dabei drauf um ein 4.8.x auf 4.9.x wieder korrekt lauffähig zu bekommen.
Übersehe ich da vielleicht etwas, da du wirklich nur bis zu einer Stunde brauchst?



Grüße
Matthias

Re: Contenido wird von siwecos.de als unsicher eingestuft.

Verfasst: So 20. Mai 2018, 22:16
von Faar
mattmarr hat geschrieben:
So 20. Mai 2018, 09:45
Hallo Faar!
Übersehe ich da vielleicht etwas, da du wirklich nur bis zu einer Stunde brauchst?
Ja, weil...
Faar hat geschrieben:
Fr 18. Mai 2018, 10:07
Update innerhalb von 4.8.x oder 4.9.x
ODER , nicht von 4.8 auf 4.9 :roll:

Bei 4.8 auf 4.9 siehts auch anders aus.
Bei mir geht schon mal ein ganzer bis zewi Arbeitstage dabei drauf um ein 4.8.x auf 4.9.x wieder korrekt lauffähig zu bekommen.
Das kann auch mal sehr teuer werden und so richtig viel Geld kosten, wenn man ein kleines PHP-Framework aus php 4 OOP Zeiten findet und große Module aus Contenido 4.6 mit viel DB Aktion.
Man kann es nicht pauschalieren, es kann mal schnell gehen oder es lohnt sogar den Aufwand nicht mehr, weil es weder in MySQL 5.6, PHP7 und Contenido 4.9 laufen würde.

Übrigens, hab gesehen, dass die Navigation von AtelierQ (das Kummer-Menü) auch in 4.9 läuft. 8)

Re: Contenido wird von siwecos.de als unsicher eingestuft.

Verfasst: Mo 21. Mai 2018, 09:25
von Oldperl
Servus,

Update 4.8.x auf ConLite 2.0 <= 1 Std
Upgrade 4.8.x auf 4.9.x ab 1,5 Std bis ~

nicht zu vergessen der zumeist notwendige Schritt auf 4.8.20...Und natürlich Backup, Backup, Backup...

Gruß aus Franken

Ortwin