Changelog Zugriff einschränken / zentralisieren!?

**Sven** · 22.06.2009, 09:39

Hallo zusammen,

ich wollte mal einfach das Feedback zu volgendem Punkt einholen, bevor es ggf. als Feature Request ins Ticketsystem eingeht.

Es wurde vor längerem mal über die Anzeige der TL Version am Backend-Login gesprochen und das die (volle) Versionsanzeige ein möglicher Hinweis auf Schwachstellen der Installation für potentielle Angreifer sein kann. Die Version wurde daraufhin eingekürzt, sodass man nicht mehr die genaue Version der Installation erkennen kann.
Jedoch ist der direkte Aufruf der CHANGELOG.txt möglich, welche ebenfalls einen sehr deutlichen Hinweis auf die genaue Version der Installation bietet. Siehe: http://demo.https://contao.org/CHANGELOG.txt

Wäre es nicht auch sinnvoll, die Changelog vor direktem Zugriff zu schützen? Einerseits ist es wichtig und auch sinnvoll eine Changelog dem Paket in Textform beizufügen. Andererseits sollte man den Punkt aus Gründen der Sicherheit nicht vernachlässigen.
Um einen Aufgruf aus dem Backend zu gewähren, wäre eine zentrale Hinterlegung der Changelog hilfreich. Über eine URL wie ...https://contao.org/changelog.php?current=2.7.1 könnte man die aktuellste Changelog aufrufen und somit auch gleichzeitig die Änderungen der neuen Version auflisten und ggf. auch eine unverbindliche Empfehlung geben, ob ein Update auf die neue Version zum aktuellen Zeitpunkt nicht zwingend notwendig ist (Optische Korrekturen, keine Funktions- oder Sicherheitsbedenken) oder gar dringend Empfohlen wird. Darüber Hinaus könnte man einen Hinweis setzen, dass sich mit dem Update etwas grundlegendes ändert und daher der oder die Artikel x,y und z aus den Ankündigungen für ein Update ggf. von Interesse sein könnte. Zum Beispiel wie bei den Änderungen der Navigation und den dadurch notwendigen CSS-Anpassungen oder dem Wechsel der Mootools Version, was sich auf etwaige Erweiterungen auswirken kann.

Ich könnte mir somit vorstellen, dass ein Aufgruf der URL für die Changelog auf eine zentrale und aktuellste Changelog weitergeleitet wird, damit für Dritte kein Rückschluss auf die eingesetzte Version zu schließen ist.
Ein Aufruf aus dem Backend ruft die Changelog mit Hervorhebung der eingesetzten Version und der für die Anwender wichtigen Punkte auf.
Seit der Version 2.6.1 wird ja stets die Ticketnummer der Änderung beigefügt, welche man zudem noch Verlinken könnte. Sicherheitsrelevante Korrekturen können farblich oder durch besondere Formatierung hervorgehoben werden.

Natürlich findet man auch alle notwendigen Informationen auch auf anderen Wegen, jedoch wäre es hilfreich alle für die Version und ein Update relevante Informationen zügig und ohne Aufwand zu erhalten. Besonders Einsteiger wissen oftmals nicht, wie sie am leichtesten Informationen finden oder wo sie am besten suchen können. Und Updates die nicht auf Anhieb klappen oder Probleme bei auftreten verursachen Stress und mindern das Vertrauen in das Produkt und die Bereitschaft regelmäßig zu aktualisieren, wenn auch meist völlig unbegründet.

Daher nun die Frage, hilfreich und ggf. auch sinnvoll? Auch wenn man als versierter Anwender die meisten Punkte sicherlich vernachlässigen kann, so wäre es sicherlich dennoch nützlich und nice to have. Besonders bei TL wird der Informationsfluss zwischen Entwicklung und Anwendern recht groß geschrieben, was hierdurch doch noch weiter unterstrichen werden kann.

Gruß Sven

**BugBuster** · 22.06.2009, 20:04

Hallo,
nur mal zu Deinem ersten Teil ne Anmerkung.
In den letzten Jahren habe ich mittels Firewall und System Logs feststellen müssen, das Angreifer sich gar nicht mehr die Mühe machen vor dem Angriff zu prüfen ob im Ziel die richtige Version vorhanden ist.
Es sind sogar Angriffe zu sehen die überhaupt nicht zum Betriebssystem passen.

Insofern halte ich die Mühe die Versionsnummer zu verstecken für aufwändiger als nützlich.

Da würde ich es schon sinnvoller finden, dass das Verzeichnis ins Backend nicht typolight heißt bzw. umbenannt werden kann.

Aber wie Du schon schriebst, man kann es auch an anderen Dingen erkennen.