Werden Erweiterungen von externen Entwicklern geprüft ?

**Robin007** · 24.01.2019, 14:37

Hallo zusammen,

in Heise online gab es am 11.1. einen Bericht zu den stark gestiegenen Sicherheitslücken in Wordpress. Dazu heißt es auch, dass zu 98% die Plugins dafür verantwortlich sind.
Ein Zitat hieraus: "Imperva zufolge gibt es von den WordPress-Verantwortlichen keine ausreichenden Sicherheitsvorgaben, beispielsweise eine Code-Analyse, für eingereichte Plug-ins."
Wen es interessiert, kann den Artikel hierzu lesen: https://www.heise.de/security/meldun...s-4271674.html

Jetzt weiß ich ja, dass man sich als Contao Fan in dieser Frage doch sehr entspannt zurück lehnen kann. Allerdings würde es mich interessieren, wie die Contao Verantwortlichen mit den Erweiterungen externer Entwickler umgeht.

Gibt es hierzu Informationen?

**intradesign** · 24.01.2019, 15:23

Das ist auch eine Frage, die ich von Kunden immer wieder höre, insbesondere wenn man die WP-Sicherheitslücken als Argument für Contao nutzen möchte. „Und wer kontrolliert das bei Contao?“

**rusty** · 25.01.2019, 08:57

Wer sollen denn die „Contao-Verantwortlichen“ sein, die alle Erweiterungen prüfen? Das ist unsere Aufgabe als Community!

Verantwortlich ist letztlich jeder Einzelne, der eine Erweiterung installiert.
Ich selbst bin zugegeben kaum in der Lage, Erweiterungen nach Sicherheitsaspekten zu bewerten. In der überschaubaren Contao-Welt bildet sich aber über die Jahre ein hohes Maß an Vertrauen heraus. Für windige Entwickler, die entweder auf schnelles Geld aus sind oder gar von Anfang an Böses im Schilde führen, ist Contao einfach kein interessanter Markt.

**Robin007** · 25.01.2019, 09:21

Zitat von rusty

Für windige Entwickler, die entweder auf schnelles Geld aus sind oder gar von Anfang an Böses im Schilde führen, ist Contao einfach kein interessanter Markt.

Vielen Dank für deine Einschätzung.
Es gibt ja eine Abfrage, die man machen kann, die ich aus einem anderen Forumbeitrag gefunden habe:
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=contao
Hier noch eine Anschlussfrage: Bezieht sich das Ergebnis auch auf Angriffe auf Erweiterungen? Dann wäre die Qualität von Contao sowieso unschlagbar.

**webstar** · 25.01.2019, 09:48

Zitat von Robin007

Vielen Dank für deine Einschätzung.
Es gibt ja eine Abfrage, die man machen kann, die ich aus einem anderen Forumbeitrag gefunden habe:
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=contao
Hier noch eine Anschlussfrage: Bezieht sich das Ergebnis auch auf Angriffe auf Erweiterungen? Dann wäre die Qualität von Contao sowieso unschlagbar.

Nein, das bezieht sich nur auf Contao. Mir ist keine Erweiterung bekannt, die selbst CVE-Einträge erstellt. Außerdem ist die Liste unvollständig, da bei einigen CVE-Einträgen noch die Freigabe fehlt und diese für Contao nur reserviert wurden.

Zitat von Robin007

Jetzt weiß ich ja, dass man sich als Contao Fan in dieser Frage doch sehr entspannt zurück lehnen kann. Allerdings würde es mich interessieren, wie die Contao Verantwortlichen mit den Erweiterungen externer Entwickler umgeht.

Der Gedanke, dass Erweiterungen einem Review unterzogen werden sollten, gab es schon häufiger. Jedoch fehlt es hier an Ressourcen, finanziell und personell.

Persönliche fahre ich die Strategie, dass ich in der Regel nur Erweiterungen einsetze, dessen Entwickler mir bekannt sind. Bei unbekannten Erweiterungen überfliege ich wenigstens mal Teile des Quellcodes um die grundsätzliche Qualität abschätzen zu können. Dies gibt keine Sicherheit, hilft aber zumindest schon einmal offensichtlich schlechte Qualität auszusortieren.

**BugBuster** · 25.01.2019, 12:18

Das gute an Contao ist ja, wenn man halbwegs vernünftigt dafür programmiert, muss man das Framework nutzen. Und damit hat man dann schon die gröbsten machbaren Fehler umgangen.
(z.B. Input und Environment Klasse statt direkt $_GET und Co. abzufragen).

Ich selber schaue mir jede Erweiterung an die ich einsetze.
Zum einem, weil ich es kann

und ich will auch verstehen wie das Teil tickt, damit ich weiß was zu tun ist wenn es mal nicht so will wie ich.

Das Thema "Test-Factory" kam schon öfters mal zur sprache. Wie schon gesagt, fehlt es an Manpower und Zeit dafür um das stätig in einem gewissen Rahmen zu machen.

Ich dachte mir auch schon mal, es wäre gut eine Möglichkeit zu schaffen, wo man ein Review erbeten kann, ohne das es damit zur Pflicht wird.
Ich bin zwar schon lange dabei aber ich möchte nicht behaupten das ich jedes Problem entdecken könnte.

Grundlegendes für Contao Programmier-Anfänger könnte man ja mal zusammenstellen (Hackathon?)
Besser vielleicht aufgehoben in den "Developer Documentations" -> Cookbook. Das derzeitige ist wohl nur für Contao 3 geeignet.