Joomla og sikkerhed?

Ordentlig backup er et must uanset platform, så det er jeg enig i ;o)

Business:

Hej Joomla eksperter.....

Kan man (læs: kompetente udviklere) nemt sikre sig i Joomla mod hackerangreb m.m.?

Såfremt du sørger for at lave noget baseline security, køre sikkerhedsopdateringer ind med det samme og har en ordentlig politik for brugerkontier - jamen så burde det på ingen måde være et problem at bruge Joomla. Vi har selv kunder der bruger Joomla og er ganske fint glade for det, både hvad angår funktionalitet og sikkerhed. (og ingen er da blevet nedlagt endnu ;-) )

Ang. diskussionen om Open Source vs. Closed Source, så blev dette spørgsmål faktisk taget op af en tidligere NSA mand for nogle år tilbage, med henblik på at bevise/modbevise forskelle i sikkerhed vha. matematik, logik og statistik. Han er professor på San Diego State University, men jeg kan desværre ikke huske hans navn lige nu.. kan finde det på opfordring. Grundlæggende var hans konklusion at der ingen nævneværdig forskel var på open- vs. closed source generelt, men at der i særlige tilfælde var kæmpe forskel. Eksempelvis nævnte han, at for projekter med meget få udviklere, så oplevede closed source projekter langt færre sikkerhedsbrister end open source, simpelthen fordi en angriber først skal reverse engineer koden inden noget særligt effektivt angreb kan finde sted (blackbox testing betegnes som lettere ineffektivt her). Omvendt, så for projekter med rigtig mange udviklere, så oplever open source typisk færre sikkerhedsbrister efter en given tid, typisk defineret som den tid der går fra initiel udgivelse til en stabil-state. Generelt får open source rygtet som super sikkert fordi sikkerhedsfolk kan kigge direkte i koden og finde fejl.. problemet er blot, at ud af dem der læser koden, så er det en kraftig antagelse at disse hovedsageligt består af godsindede sikkerhedsfolk - erfaringen viser at de fleste "prying eyes" er ukyndige (aka. kan ikke finde fejlene pga. manglende erfaring) eller ondsindede.

Så altså alt i alt.. open source er ikke et argument i sig selv for god sikkerhed, men ved større projekter er der noget sandhed i en højere statistisk sikkerhed.

Et sikkerhedshul i et stort open source cms lokaliseres og udbedres som regel i et tempo som ikke kan sidestilles med closed source.

Gennemsigtigheden i kildekoden betyder at sikkerhedshullerne rent faktisk bliver fundet og bliver offentligt kendte og lukket i et meget hurtigere tempo end det er tilfældet for closed source.

I et closed source system kan du have en exploit i årevis uden nogen opdager noget på nær en lukket håndfuld af folk der misbruger hullet - Det sker typisk ikke i open source pga. gennemsigtigheden.

Kun en tåbe frygter ikke havet lød et motto i mange år i OBS - man kunne i samme åndedræt udvide det gamle ordsprog til "Kun en tåbe frygter ikke uopdateret software" og især når der kommer sikkerhedspatches så skal de død og pine implementeres så hurtigt som muligt.

Niels Henriksen:

Men AJAX kan godt sikres til en vis grænse...

Ja, men pointen er, at det er svært at lave en systematisk kontrol af om der er sikkerhedsbrister eller ej. Det tager lang tid og er ikke pengene værd (as in 'man gør det ikke').