Update Contao 3.5.20 für wen?

**juju** · 20.12.2016, 16:10

Hallo,

weiß jemand mehr über die betroffenen Versionen? Sind alle betroffen oder nur bestimmte. Und ist es nur relevant wenn man bestimmte Funktionen einsetzt? (wenn ja: welche?)

Danke Euch im Voraus!

Viele Grüße,
juju

**Spooky** · 20.12.2016, 16:13

Betrifft grundsätzlich wahrscheinlich alle Contao Versionen und es betrifft wahrscheinlich nur Installationen wo gewisse Formular Elemente zum Einsatz kommen.

**folkfreund** · 20.12.2016, 17:33

Der behobene Fehler bei der Eventanzeige könnte auch ein Grund zum Update sein :-)
Ansonsten klar, dass die Lücken nicht breitgetreten werden...

**Thraile** · 20.12.2016, 22:08

Ich habe jetzt nicht genau nachgesehen, aber es dürfte zumindest mindestens alle 3.5.X Versionen betreffen. Relevant ist das Problem wahrscheinlich nur, wenn im Formular "HTML-Tag Erlauben" aktiv ist.

**jott** · 21.12.2016, 08:34

Wie wahrscheinlich ist die Wahrscheinlichkeit, dass es nur das "HTML-Tag erlauben" betrifft? Wäre die Sicherheitslücke umgangen wenn man diese Option nicht anhakt?

**mlweb** · 21.12.2016, 09:26

Zitat von jott

Wie wahrscheinlich ist die Wahrscheinlichkeit, dass es nur das "HTML-Tag erlauben" betrifft? Wäre die Sicherheitslücke umgangen wenn man diese Option nicht anhakt?

Ich glaube nicht, dass Dir jemand die Entscheidung für bzw. gegen ein Update abnimmt. Das mögliche Risiko trägst Du immer selbst.
Wenn nichts grundsätzliches dagegen spricht (inkompatible Erweiterungen) spiele ich Updates zeitnah ein, auch wenn diese nicht sicherheitsrelevant sind.
Gibt es bei Dir einen Grund warum Du Dich damit so schwer tust?

**jott** · 21.12.2016, 09:31

Einen inhaltlichen oder technischen Grund gibt es für das Zögern nicht. Aber ich muss jedes Update - und sei es noch so klein - unseren Kunden "verkaufen", und wenn es viele innerhalb eines Jahres sind fragt er sich vielleicht zu Recht ob sie nötig sind. Also lasse ich lieber mehrere zusammenkommen und mache die dann auf einmal.
Oder wie macht ihr das?

**Spooky** · 21.12.2016, 09:46

Zitat von jott

Oder wie macht ihr das?

Sicherheitsrelevante Updates werden sofort gemacht, sofern eine Support Vereinbarung mit dem Kunden besteht. Bei anderen Updates kommt es schlicht darauf an, ob das Update einen Vorteil für den Kunden bietet. Manchmal werden Updates auch im Zuge anderer Änderungen mitgezogen.

Außerdem, wenn du bspw. die Extension easyupdate3 nimmst, oder das Live-Update, dann ist das Update in wenigen Minuten vollzogen, vor allem wenn du schon auf Contao 3.5 bist.

**mlweb** · 21.12.2016, 09:46

Ich mache den meisten Kunden einen Wartungsvertrag schmackhaft. Das Risiko der vielen Updates trage ich selbst, ist aber m.E. bei kleinen Seiten mit wenig Erweiterungen absolut überschaubar.
Wenn der Kunde das nicht möchte, bekommt er nur eine Info über Sicherheitsupdates. Bisher war meine Preisgestaltung ca. so, das er bei einem Sicherheitsupdate auch fast die Jahresgebühr des kleinsten Wartungsvertrages erreicht hatte.

**jott** · 21.12.2016, 10:10

Einen "Wartungsvertrag" haben wir auch mit den meisten Kunden. Aber der beinhaltet (wie bei einem Wartungsvertrag für die Heizung beispielsweise) nur die Überprüfung auf Sicherheit und Mängel. Und auf das Erscheinen von Updates und die Einordnung ob sie relevant für die Seite sind. Das Update durchzuführen und evtl. Anpassungen vorzunehmen ist bei uns nicht Bestandteil des Wartungsvertrags - das bieten wir jeweils getrennt an.

**Spooky** · 21.12.2016, 10:22

Hört sich nicht sehr Kunden orientiert an

**mlweb** · 21.12.2016, 11:34

Meinst Du mich?

**Spooky** · 21.12.2016, 11:42

Nein, jott.

**tab** · 21.12.2016, 13:27

Ich weise grundsätzlich auf die Problematik Updates hin und biete dann einen Wartungsvertrag an mit Preis pro Jahr oder pro Update. Der Preis hängt von den installierten Erweiterungen ab und es werden grundsätzlich nur Updates gemacht, die ich für notwendig halte. Also Bugfixes, die für verwendete Features relevant sind und sicherheitsrelevante Updates. Bei Fixes von Sicherheitslücken prüfe ich nicht, ob das die Website überhaupt konkret betrifft, sondern mache diese grundsätzlich immer. Man weiss ja nie, was der Kunde eventuell mal später noch einfügt.

**mlweb** · 21.12.2016, 13:50

Zitat von tab

Bei Fixes von Sicherheitslücken prüfe ich nicht, ob das die Website überhaupt konkret betrifft, sondern mache diese grundsätzlich immer. Man weiss ja nie, was der Kunde eventuell mal später noch einfügt.

Mache ich ähnlich, wobei ich wenn nichts dagegen spricht (wie z.B. im Forum gemeldete Probleme) auch normale Bugfixes zeitnah einspiele. Da ich gern easyupdate3 benutze wäre das sonst kontraproduktiv.

**Thraile** · 21.12.2016, 16:49

Zitat von jott

Wie wahrscheinlich ist die Wahrscheinlichkeit, dass es nur das "HTML-Tag erlauben" betrifft? Wäre die Sicherheitslücke umgangen wenn man diese Option nicht anhakt?

Aus meiner Sicht ist die Wahrscheinlichkeit ist ziemlich hoch, dass es nur funktioniert, wenn "HTML-Tag erlauben" an ist, aber die Wahrscheinlichkeit, dass man diesen Bug vergisst und irgendwann dann doch den Haken sezt, halte ich für noch höher

. Ist aber nur meine Meinung

Wir werden den Patch auf jeden Fall bei allen Kunden mit Updating-Verträgen zeitnah einspielen, so wie bei allen Updates, wo irgendwie was mit Security-Patch dransteht - vollkommen egal wie unwahrscheinlich oder abwegig der Fehler auch auszunutzen sein mag. Und sollte keine Updating-vertrag vorhanden sein, kann man Sicherheitsupdates eigentlich immer ganz gut an den Mann bringen

. Kommt bei Contao ja auch eher selten vor...