Hjælp til salg (Ikke internet)

Svar: Joomla og sikkerhed?

udvikler — Tue, 03 Feb 2009 10:54:10 GMT

Niels Henriksen:
Men AJAX kan godt sikres til en vis grænse...

Ja, men pointen er, at det er svært at lave en systematisk kontrol af om der er sikkerhedsbrister eller ej. Det tager lang tid og er ikke pengene værd (as in 'man gør det ikke').

Svar: Joomla og sikkerhed?

Niels Henriksen — Tue, 03 Feb 2009 10:45:33 GMT

Ronnikc:

Et sikkerhedshul i et stort open source cms lokaliseres og udbedres som regel i et tempo som ikke kan sidestilles med closed source.

Gennemsigtigheden i kildekoden betyder at sikkerhedshullerne rent faktisk bliver fundet og bliver offentligt kendte og lukket i et meget hurtigere tempo end det er tilfældet for closed source.

I et closed source system kan du have en exploit i årevis uden nogen opdager noget på nær en lukket håndfuld af folk der misbruger hullet - Det sker typisk ikke i open source pga. gennemsigtigheden.

Kun en tåbe frygter ikke havet lød et motto i mange år i OBS - man kunne i samme åndedræt udvide det gamle ordsprog til "Kun en tåbe frygter ikke uopdateret software" og især når der kommer sikkerhedspatches så skal de død og pine implementeres så hurtigt som muligt.

Det hjælper jo ikke noget at de lukker sikkerhedshullerne hvis ejeren af websitet ikke downloader patchen (som du også siger).

Men AJAX kan godt sikres til en vis grænse...

Svar: Joomla og sikkerhed?

Ronnikc — Tue, 03 Feb 2009 10:34:43 GMT

Et sikkerhedshul i et stort open source cms lokaliseres og udbedres som regel i et tempo som ikke kan sidestilles med closed source.

Gennemsigtigheden i kildekoden betyder at sikkerhedshullerne rent faktisk bliver fundet og bliver offentligt kendte og lukket i et meget hurtigere tempo end det er tilfældet for closed source.

I et closed source system kan du have en exploit i årevis uden nogen opdager noget på nær en lukket håndfuld af folk der misbruger hullet - Det sker typisk ikke i open source pga. gennemsigtigheden.

Kun en tåbe frygter ikke havet lød et motto i mange år i OBS - man kunne i samme åndedræt udvide det gamle ordsprog til "Kun en tåbe frygter ikke uopdateret software" og især når der kommer sikkerhedspatches så skal de død og pine implementeres så hurtigt som muligt.

Svar: Joomla og sikkerhed?

Anonymous — Tue, 03 Feb 2009 10:20:50 GMT

Business:

Hej Joomla eksperter.....

Kan man (læs: kompetente udviklere) nemt sikre sig i Joomla mod hackerangreb m.m.?

Såfremt du sørger for at lave noget baseline security, køre sikkerhedsopdateringer ind med det samme og har en ordentlig politik for brugerkontier - jamen så burde det på ingen måde være et problem at bruge Joomla. Vi har selv kunder der bruger Joomla og er ganske fint glade for det, både hvad angår funktionalitet og sikkerhed. (og ingen er da blevet nedlagt endnu ;-) )

Ang. diskussionen om Open Source vs. Closed Source, så blev dette spørgsmål faktisk taget op af en tidligere NSA mand for nogle år tilbage, med henblik på at bevise/modbevise forskelle i sikkerhed vha. matematik, logik og statistik. Han er professor på San Diego State University, men jeg kan desværre ikke huske hans navn lige nu.. kan finde det på opfordring. Grundlæggende var hans konklusion at der ingen nævneværdig forskel var på open- vs. closed source generelt, men at der i særlige tilfælde var kæmpe forskel. Eksempelvis nævnte han, at for projekter med meget få udviklere, så oplevede closed source projekter langt færre sikkerhedsbrister end open source, simpelthen fordi en angriber først skal reverse engineer koden inden noget særligt effektivt angreb kan finde sted (blackbox testing betegnes som lettere ineffektivt her). Omvendt, så for projekter med rigtig mange udviklere, så oplever open source typisk færre sikkerhedsbrister efter en given tid, typisk defineret som den tid der går fra initiel udgivelse til en stabil-state. Generelt får open source rygtet som super sikkert fordi sikkerhedsfolk kan kigge direkte i koden og finde fejl.. problemet er blot, at ud af dem der læser koden, så er det en kraftig antagelse at disse hovedsageligt består af godsindede sikkerhedsfolk - erfaringen viser at de fleste "prying eyes" er ukyndige (aka. kan ikke finde fejlene pga. manglende erfaring) eller ondsindede.

Så altså alt i alt.. open source er ikke et argument i sig selv for god sikkerhed, men ved større projekter er der noget sandhed i en højere statistisk sikkerhed.

Svar: Joomla og sikkerhed?

udvikler — Sun, 25 Jan 2009 22:50:00 GMT

Mikkel deMib Svendsen:
AJAX er, næsten pr. defination, en sprængfarlig ting at lege med, da der ofte åbnes op for mere eller mindre direkte database og systemkald i klientlaget. Mange af de store web 2.0 fuckups jeg har se de senere år skyldes usikre AJAX applikationer. Jeg har hørt nogle sikkerhedseksperter sige, at det faktisk ikke er teknisk muligt at sikre en AJAX applikation fuldkommen.

Ja. Der findes ikke rigtig nogle gode modeller til at teste sikkerheden i AJAX. Ordet "ofte" er godt valgt.

Svar: Joomla og sikkerhed?

Business — Sun, 25 Jan 2009 22:13:20 GMT

Ordentlig backup er et must uanset platform, så det er jeg enig i ;o)

Svar: Joomla og sikkerhed?

Business — Sun, 25 Jan 2009 22:10:32 GMT

Aiiiiii Mikkel ;o)

Nu har jeg jo fundet på en fed måde (Ajax) at vise nogle ting på fra databasen. Det skal ellers vise ting på et kort, som på fx. boliga.dk o.lign. Jeg havde ingen idé om, at det skulle udgøre en sikkerhedsrisiko ;o(

Svar: Joomla og sikkerhed?

Mikkel deMib Svendsen — Sun, 25 Jan 2009 21:58:22 GMT

En af de problemer jeg ofte støder ind i med hensyn til sikkerhed er, at selve systemet måske er helt OK - som Joomla sikkert er det, men at der smides ting ind i klientlaget, som ødelægger lidt eller meget af sikkerheden. Ofte er det marketingfolk, der smider den slags ind - f.eks. leveret af andre, uden af de oprindelige udviklere - eller sikkerhedsfolk, kigger nærmere på det.

Som gode eksempler kan f.eks. nævnes AJAX applikationer og tracking scripts.

AJAX er, næsten pr. defination, en sprængfarlig ting at lege med, da der ofte åbnes op for mere eller mindre direkte database og systemkald i klientlaget. Mange af de store web 2.0 fuckups jeg har se de senere år skyldes usikre AJAX applikationer. Jeg har hørt nogle sikkerhedseksperter sige, at det faktisk ikke er teknisk muligt at sikre en AJAX applikation fuldkommen.

Tracking scripts udgør ofte en anden risiko bl.a. fordi de ikke altid filtrere indput (typisk URL-streng) godt nok - eller overhovedet. Det kan åbne op for nogle grimme XSS-ting

Svar: Joomla og sikkerhed?

udvikler — Sun, 25 Jan 2009 21:50:07 GMT

Business:
God idé, det med at omdøbe de sædvanlige 'indgange'....

Det kaldes 'security by obscurity' og generelt ikke noget der tæller. Der har dog været en Joomla sikkerhedsbrist som baserede sig på 'admin'-standard kontoen. Hvis det lykkedes at brude ind på din webserver eller i din database er disse tiltag helt ligegyldigt. Sørg også for at have ordentlig backup.

Svar: Joomla og sikkerhed?

Business — Sun, 25 Jan 2009 21:36:41 GMT

Tak for dit svar også ;o)

Jeg er godt klar over at 100% er urealistisk (det har jeg vist heller ikke skrevet at det skulle være), men jeg vil bare ikke basere en forretning på noget, som enhver kan hacke uden problemer ;o) - Jeg læste på et tidspunkt, at Joomla havde en del huller, så derfor ville jeg lige spørge, om det stadig forholdt sig sådan ;o)

God idé, det med at omdøbe de sædvanlige 'indgange'....

Svar: Joomla og sikkerhed?

udvikler — Sun, 25 Jan 2009 21:32:32 GMT

Business:
Kan man (læs: kompetente udviklere) nemt sikre sig i Joomla mod hackerangreb m.m.?

Der er intet system der kan garantere dig 100% sikkerhed med mindre du også er villig til at acceptere 0% tilgængelighed (dvs. sluk maskinen).

Der er en række ting du kan gøre for at sikre dig bedre. Komplekse passwords, afinstaller alle moduler/komponenter du ikke bruger, hold moduler og kodebasen opdateret med de seneste patches. Omdøb eksempelvis /administrator og standard 'admin' kontoen.

At open source generelt skulle være mere usikkert en closed source kræver vist noget konkret dokumentation. Open source styresystemer betragtes generelt som de mest sikre, f.eks. *BSC mens Windows næppe har samme ry. Ligeledes er Apache open source mens Internet Information Server (IIS) er closed source. Den sidste har en lang track-record for sikkerheds fejl. Derudover er der naturligvis Internet Explorer (IE) vs. Firefox osv. osv.

Men svaret på dit spørgsmål er vel i grove træk 'ja'

Svar: Joomla og sikkerhed?

Business — Sun, 25 Jan 2009 21:20:29 GMT

Ok.......jamen så siger jeg tak for svaret ;o)

Svar: Joomla og sikkerhed?

MichaelValentin — Sun, 25 Jan 2009 21:15:52 GMT

Jo, men hvis du gør det rigtigt burde hackere altså ikke være et problem. Jeg vil spå at sandsynligheden er større for at nogen gætter din adgangskode på en eller anden måde, end at de tiltvinger sig adgang til en løsning.

Svar er at Joomla er ligeså sikkert som forskellige andre CMS systemer. Sikkerheden afhænger også meget af om din server er ordentligt sikret. Om du skifter dine koder regelmæssigt og bruger stærke koder..

For at sige det ligeud, mener jeg ikke at du skal fravælge Joomla med henblik på sikkerhed.

Svar: Joomla og sikkerhed?

Business — Sun, 25 Jan 2009 20:53:09 GMT

Hmmm......

Selvom man ikke er en bank, vil det da nemt kunne blive en mindre eller større katastrofe, hvis man bliver hacket, så det er jo et vigtigt område, hvis hele ens forretning er baseret på et website ;o)

Tak for svaret i øvrigt

Svar: Joomla og sikkerhed?

MichaelValentin — Sun, 25 Jan 2009 20:26:01 GMT

Svaret er efter min bedste overbevisning ja. Joomla er generelt godt sikret, og man kan med lidt teknisk indsigt gøre det endnu mere sikkert. Det største problem er jo at systemet er opensource, og en evt. hacker dermed ved hvordan hele systemet fungerer "bagtil", hvilket han kan udnytte til at finde eventuelle huller. Som sagt kan man dog gøre meget for at lukke forskellige, tænkelige huller.

Closed source har selvfølgelig fordelen af at hackeren ikke kender systemet. På den anden side er det meste closed source langt fra ligeså gennemtestet som joomla, hvorfor der er større risiko for diverse, endnu ikke opdagede smuthuller.

Det store spørgsmål er selvfølgelig hvad vi taler om. En bank skal nok undlade at lave netbank på en Joomla base... Det sige vist sig selv.. ... det ville nok heller ikke være vildt hensigtsmæssigt...

7-9-13, har jeg aldrig haft hackerangreb på nogle joomlaløsninger jeg har været omkring. Jeg selvfølgelig lavet basis sikkerhed for dem, men har aldrig gjort de mig de helt store anti-hacker anstrengelser..