Contao-Camp 2024
Ergebnis 1 bis 19 von 19

Thema: CMS - Sicherheit

  1. #1
    Alter Contao-Hase
    Registriert seit
    02.10.2010.
    Ort
    58636 Iserlohn
    Beiträge
    1.084

    Standard CMS - Sicherheit

    Hallo zusammen,

    kennt jemand eine Statistik zur Infektion diverser CMS?
    Oder die Häufigkeit pro 1000 Installationen?

    Ich soll nun auch Wordpress anbieten, habe aber kein gutes Gefühl dabei.

    Viele Grüße
    Thoni
    Meine Extensions: contentmodify, dca_editor

  2. #2
    Contao-Urgestein
    Registriert seit
    20.09.2012.
    Ort
    Lüneburger Heide
    Beiträge
    1.971
    Partner-ID
    12207
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Zitat Zitat von Thoni Beitrag anzeigen
    Ich soll nun auch Wordpress anbieten, habe aber kein gutes Gefühl dabei.

    Viele Grüße
    Thoni
    Hm,
    wenn Du das alleine entscheiden kannst, mach es doch einfach nicht.
    Ich selbst bin auch von WP abgekommen weil mir unter Anderem der Updateaufwand zu groß war (unabhängig von dem was der Rest vom WP-System kann).

    Gruß
    tschero
    Autodidakt und HobbyWebdesigner

    www.webdesign24.biz
    Screencasts zu Contao

  3. #3
    Wandelndes Contao-Lexikon Avatar von BugBuster
    Registriert seit
    15.06.2009.
    Ort
    Berlin
    Beiträge
    10.494
    User beschenken
    Wunschliste

    Standard

    Irgendwo habe ich schon eine CVE Vergleichliste (Anzahl) mal gesehen. Weiß nur nicht mehr ob hier oder Twitter oder in einem Vortrag... Mal sehen ob mir das noch mal unterkommt.
    Aber das Worpress (meistens durch irgendwelche Plugins) wesentlich mehr Einträge hat als Contao, das ist schon mal sicher.
    Grüße, BugBuster
    "view source" is your guide.
    Danke an alle Amazon Wunschlisten Erfüller

  4. #4
    Wandelndes Contao-Lexikon Avatar von BugBuster
    Registriert seit
    15.06.2009.
    Ort
    Berlin
    Beiträge
    10.494
    User beschenken
    Wunschliste
    Grüße, BugBuster
    "view source" is your guide.
    Danke an alle Amazon Wunschlisten Erfüller

  5. #5
    Administratorin Avatar von lucina
    Registriert seit
    19.06.2009.
    Ort
    Kiel (DE)
    Beiträge
    7.328
    Partner-ID
    152
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Beispielsweise:

    https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=contao
    https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=joomla
    https://cve.mitre.org/cgi-bin/cvekey...word=wordpress

    ... und so weiter.

    Zum Gefährdungsvektor kommt sicherlich auch die Anzahl der Installationen hinzu. Je verbreiteter, desto mehr Versuche, desto lohnender automatisierte Angriffe, desto mehr gefundene Probleme. Man kann sicher nicht sagen, das ein bestimmtes System besonders sicher oder besonders unsicher ist. Systeme, in die man einfach mal eine Extension oder ein Plugin hineinklatschen kann, ohne das man sich grossartig mit den Themen Sicherheit und Aufbau des Cores auseinandergesetzt hat, sind da natürlich anfälliger.

  6. #6
    Alter Contao-Hase
    Registriert seit
    02.10.2010.
    Ort
    58636 Iserlohn
    Beiträge
    1.084

    Standard

    Vielen Dank für die Infos.

    Gibt es auch schon Datenschutz-Folgenabschätzungen der einzelnen Systeme?
    Meine Extensions: contentmodify, dca_editor

  7. #7
    Administratorin Avatar von lucina
    Registriert seit
    19.06.2009.
    Ort
    Kiel (DE)
    Beiträge
    7.328
    Partner-ID
    152
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Ich denke nicht, dass es das global für ein System gibt, denn eine Datenschutz-Folgeabschätzung (bzw. der Bedarf, eine durchzuführen) hängt doch sehr von den Verhältnissen ab, unter denen ein CMS eingesetzt wird, wie es konfiguriert wird, etc. Grob gesagt: immer dann, wenn es ein hohes Risiko für die Rechte und Freiheiten einer natürlichen Person gibt.

    Schau mal bitte hier: https://dsgvo-gesetz.de/art-35-dsgvo/

    Dort sind Faktoren genannt, die IMHO eher auf der Ebene der Art der Daten, die im CMS verarbeitet werden liegen und wie sie verarbeitet werden. Alle diese Faktoren sind hochgradig davon abhängig, wie und zu welchem Zweck ich ein CMS konfiguriere, was ich einbinde und was nicht. Den relativ klaren Sonderfall eines bei Automattic gehosteten Wordpress, das auf US-amerikanischen Servern liegt, lasse ich mal aussen vor.

    Eine Datenschutzfolgeabschätzung kann beispielsweise dann notwendig sein, wenn es um Gesundheitsdaten, Daten Minderjähriger und so weiter geht (und ist auch dort nicht automatisch notwendig - kleinere Arztpraxen fallen da unter Umständen heraus).

    Möglicherweise findest Du auch unter https://www.datenschutzbeauftragter-...nabschaetzung/ ein paar weitere Informationen.

    EDIT: Hier gibt es noch eine Checkliste: https://www.datenschutz.org/folgenab...ung-checkliste
    Geändert von lucina (19.09.2018 um 22:15 Uhr)

  8. #8
    Contao-Nutzer Avatar von spotbot2k
    Registriert seit
    26.06.2017.
    Beiträge
    65

    Standard Da gab es mal was

    Die BSI (Bundesamt für Sicherheit in der Informationstechnik) hat da mal ne Studie veröffentlicht. Ist lange her und Contao war damals nicht dabei, aber die allgemeinen Konzepte sind erläutert. Zudem heißt es auch drin, dass es sich von Version zu Version und Installation zu Installation ändern. Absolute Wahrheiten führen zu Paradoxen, wie es bei Camus hieß.

    https://www.bsi.bund.de/SharedDocs/D...cationFile&v=2

  9. #9
    Contao-Nutzer Avatar von Robin007
    Registriert seit
    04.02.2014.
    Ort
    Stockach
    Beiträge
    190

    Standard

    Zitat Zitat von lucina Beitrag anzeigen
    Beispielsweise:

    https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=contao

    ... und so weiter.

    Zum Gefährdungsvektor kommt sicherlich auch die Anzahl der Installationen hinzu. Je verbreiteter, desto mehr Versuche, desto lohnender automatisierte Angriffe, desto mehr gefundene Probleme. Man kann sicher nicht sagen, das ein bestimmtes System besonders sicher oder besonders unsicher ist. Systeme, in die man einfach mal eine Extension oder ein Plugin hineinklatschen kann, ohne das man sich grossartig mit den Themen Sicherheit und Aufbau des Cores auseinandergesetzt hat, sind da natürlich anfälliger.
    Die letzte Sicherheitslücke von 2017 bei Contao lautet ja wie folgt:
    Contao before 3.5.28 and 4.x before 4.4.1 allows remote attackers to include and execute arbitrary local PHP files via a crafted parameter in a URL, aka Directory Traversal.

    Was würde das in der Praxis bedeuten?
    Schöne Grüsse vom Bodensee

  10. #10
    Administratorin Avatar von lucina
    Registriert seit
    19.06.2009.
    Ort
    Kiel (DE)
    Beiträge
    7.328
    Partner-ID
    152
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Das würde bedeuten, dass ein angemeldeter Backenduser an die URL in der Browserzeile eigene Parameter anhängen kann, mit denen dann *vorhandene* PHP-Dateien gefüttert werden, um irgendwelchen Unfug anzustellen. Man könnte damit beispielsweise Änderungen an Variablen untersemmeln, um Dinge aufzurufen, die sich bereits auf dem Server befinden, an die man aber normalerweise nicht rankommen soll. Auch das PHP-Binary könnte man beispielsweise mit Befehlen füttern. Wie sich das auswirken kann hängt IMO davon ab, wie der Webserver konfiguriert ist.

    Möglicherweise ist das auch interessant im Zusammenspiel mit Erweiterungen, die weitreichende Systemrechte haben. Einen kompletten Datenbankdump möchte man sicher auch nicht an jemanden verlieren, der normalerweise nur Nachrichten bearbeiten darf, oder?

    Das bedingt in jedem Fall eine gewisse kriminelle Energie von jemandem, der einen Backend-Account hat. Insofern ist der Vertrauensschaden ja schon vorher vorhanden ... ;-)

  11. #11
    Contao-Fan Avatar von dtptiger
    Registriert seit
    20.06.2009.
    Ort
    Nürnberg
    Beiträge
    816

    Standard

    Mal konkret auf den Punkt "was soll ich soll anbieten".
    Ohne die ganzen Beweismittel, janz prinzípiel.

    Wordpress und seine Extensions (ohne die meist zuwenig geht) ist per se und schon seit "immer" eine Sicherheitslücke.

    Wenn einer meiner "werdenden Kunden" meine Information, Erfahrung, Wissen und zudem leicht zu erfahrende Goggleinfo, gerne auch nach Diskussion und Beratung, nicht akzeptiert, dann:
    L. M. A.

    So und sofort und nix anderes.

    Weil so ein Besserwisser mir in Zukunft immer Ärger machen wird, egal wie gut ich meine Arbeit mache.
    Und darauf kann ich verzichten, selbst wenn ich Bettel gehen müsste.

    Gruß dtptiger
    Geändert von dtptiger (15.01.2019 um 03:47 Uhr)

  12. #12
    Wandelndes Contao-Lexikon Avatar von BugBuster
    Registriert seit
    15.06.2009.
    Ort
    Berlin
    Beiträge
    10.494
    User beschenken
    Wunschliste

    Standard

    Wer noch Gegenargumente sucht (WP): https://heise.de/-4271674

    Jahresbericht: Rund dreimal so viele Sicherheitslücken in WordPress wie im Vorjahr.
    Davon 2% in Wordpress, 98% in den Plugins.
    Grüße, BugBuster
    "view source" is your guide.
    Danke an alle Amazon Wunschlisten Erfüller

  13. #13
    Wandelndes Contao-Lexikon Avatar von tab
    Registriert seit
    22.10.2013.
    Beiträge
    10.060
    Contao-Projekt unterstützen

    Support Contao

    Standard

    "Nur" 2% von 542 Sicherheitslücken in Wordpress, das wären dann so ca 11 Stück. Herzlichen Glückwunsch!

  14. #14
    Administratorin Avatar von lucina
    Registriert seit
    19.06.2009.
    Ort
    Kiel (DE)
    Beiträge
    7.328
    Partner-ID
    152
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Ja, WP ist gar nicht so schlecht. Aber solange es auch WP nicht gelingt, Menschen zu erklären, was sie wie selbst machen können, um Funktionen einzubauen, sondern sie für alles und jedes ein Plugin reinklicken, wird es in der Gesamtbilanz immer unschön aussehen.

    Eigentlich ist das ja nicht so schwer. Aber PHP schreiben, um einen anderen Footer zu bekommen, ist ja für viele Nutzer*innen schon zu viel.

  15. #15
    Wandelndes Contao-Lexikon Avatar von tab
    Registriert seit
    22.10.2013.
    Beiträge
    10.060
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Naja, ich meinte eher, das ich 11 sicherheitskritische Lücken in einem Jahr nicht für wenig halte. Der Fairness halber müsste man allerdings auch mal im Detail schauen, was das für Lücken waren.

  16. #16
    Contao-Yoda Avatar von MacKP
    Registriert seit
    15.06.2009.
    Ort
    Duisburg
    Beiträge
    13.292
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Zitat Zitat von tab Beitrag anzeigen
    Naja, ich meinte eher, das ich 11 sicherheitskritische Lücken in einem Jahr nicht für wenig halte. Der Fairness halber müsste man allerdings auch mal im Detail schauen, was das für Lücken waren.
    Und ganz ehrlich: Es kommt immer darauf an, wie mit den Lücken umgegangen wird.

    Da finde ich es mit Contao und dem Manager aktuell sehr sehr angenehm, da ein update Einspielen extrem einfach geworden ist. Und dann wird im Contao Umfeld auch noch sehr zügig und besonnen auf Sicherheitslücken reagiert.

    Das dumme bei WP ist einfach: Dort ist weniger Zeit vorhanden einen Patch einzuspielen, wenn eine Sicherheitslücke bekannt geworden ist, da die Angriffe umso schneller gemacht werden bei einem so verbreiteten System...

    Viele Grüße
    Contao Pool | C-C-A | MetaModels | [Internetseite -> Mediendepot Ruhr]
    [Arbeitet bei -> Paus Design & Medien]
    "I can EXPLAIN it to you, but I can't UNDERSTAND it for you."

  17. #17
    Wandelndes Contao-Lexikon Avatar von tab
    Registriert seit
    22.10.2013.
    Beiträge
    10.060
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Zudem sind halt bei Wordpress eine Menge, hmm, sagen wir mal unbedarfter Administratoren unterwegs. Hauptsache die Seite läuft ...

  18. #18
    Contao-Urgestein Avatar von Toflar
    Registriert seit
    15.06.2009.
    Beiträge
    4.466
    Partner-ID
    8667
    User beschenken
    Wunschliste

    Standard

    11 ist okay für die Verbreitung von Wordpress. Contao hat bestimmt zig Sicherheitslücken die bisher einfach noch keinem aufgefallen sind.
    Das ist normal, Software enthält Sicherheitslücken. PHP selbst hatte letztes Jahr deren 21 (https://www.cvedetails.com/product/1...l?vendor_id=74).

    Es ist heuchlerisch dem Kunden Contao zu verkaufen, weil es "besonders wenig Sicherheitslücken enthält". Es klingt gut und es funktioniert wohl im Verkauf, aber es entspricht nicht der Wahrheit.
    Wichtig ist - wie bereits erwähnt wurde - wie mit denen umgegangen wird. Hält man sich an Responsible Disclosure? Holt man sich CVE-Nummern? Fixt man innert nützlicher Frist? Solche Sachen sind wichtig, nicht die Anzahl der Lücken.
    Contao Core-Entwickler @terminal42 gmbh
    Wir sind Contao Premium-Partner!
    Für Individuallösungen kannst du uns gerne kontaktieren.
    PS: Heute schon getrakked?

  19. #19
    Contao-Nutzer
    Registriert seit
    24.09.2020.
    Beiträge
    2

    Standard

    Zitat Zitat von lucina Beitrag anzeigen
    Ich denke nicht, dass es das global für ein System gibt, denn eine Datenschutz-Folgeabschätzung (bzw. der Bedarf, eine durchzuführen) hängt doch sehr von den Verhältnissen ab, unter denen ein CMS eingesetzt wird, wie es konfiguriert wird, etc. Grob gesagt: immer dann, wenn es ein hohes Risiko für die Rechte und Freiheiten einer natürlichen Person gibt.
    Schau mal bitte hier: https://dsgvo-gesetz.de/art-35-dsgvo/Artikel
    Dort sind Faktoren genannt, die IMHO eher auf der Ebene der Art der Daten, die im CMS verarbeitet werden liegen und wie sie verarbeitet werden. Alle diese Faktoren sind hochgradig davon abhängig, wie und zu welchem Zweck ich ein CMS konfiguriere, was ich einbinde und was nicht. Den relativ klaren Sonderfall eines bei Automattic gehosteten Wordpress, das auf US-amerikanischen Servern liegt, lasse ich mal aussen vor.
    Eine Datenschutzfolgeabschätzung kann beispielsweise dann notwendig sein, wenn es um Gesundheitsdaten, Daten Minderjähriger und so weiter geht (und ist auch dort nicht automatisch notwendig - kleinere Arztpraxen fallen da unter Umständen heraus).
    Gibt es denn Richtlinien ab wann eine derart aufwändige Datenschutz-Maßnahme zu erfolgen hat? Ich meine, besteht diese Pflicht z.b. auch bei einem Portal, das ich eben schnell aufsetze für private Zwecke oder gilt es nur für gewerbliche Webseiten?

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •