Donnerstag, 19. Oktober 2006

Drupal Sicherheitsloch

Mein erster öffentlicher Exploit-Report: Drupal Security Fix.

Fast hätte ich es vergessen, das habe ich nämlich vor gut 12 Monaten berichtet. Eine Woche bevor Serendipity ein ähnliches Loch nach einem Userbericht innerhalb von 48 Stunden behoben hatte, und XSRF-Angriffsvektoren auch bei anderen Systemen die Runde machten.

Schade, dass Drupal so lange gebraucht hat - aber nett, das man mich per E-Mail informiert hat. :-)

Grundsätzlich ist das alles eher eine theoretische Sache, denn XSRF-Lücken bestehen grob geschätzt bei 80% aller freien PHP-Anwendungen. Kein Grund natürlich, das nicht zu fixen. Typo3 ist übrigens nur davor geschützt weil es ein grauenhaftes Frame-Konzept hat. :-D
Geschrieben von garvin in PHP / Software um 10:53 | Kommentare (2) | Trackbacks (0)
5179 Klicks
Tweet This!
Bookmark Drupal Sicherheitsloch at del.icio.us Facebook Google Bookmarks Digg Drupal Sicherheitsloch

Trackbacks
Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare
Ansicht der Kommentare: (Linear | Verschachtelt)

*Wer mag eigentlich typo3?
Drupal steht auf meiner Liste der dringed zu evaluierenden "Frameworks" ganz klar auf Platz 1. Mir ist ein System mit bekannt gemachten Sicherheitsfehlern lieber als Systeme, bei denen Fehler so lange totgeschwiegen werden bis sie von Bösartigen entdeckt werden.
#1 Wolli (Link) am 19.10.2006 13:34 (Reply)
*Nunja, so richtig toll kommt mir das auch nicht vor, wenn Drupal erst nach einem Jahr reagiert. In 12 Monaten kann so ein Sicherheitsleck auch anderen, bösartigen Personen auffallen.

Wie auch immer, Sicherheit ist immer auch nur ein Teilaspekt einer Software. Drupal hat einige sehr sinnvolle Funktionen und eine aktive Entwicklergemeinschaft, und findet so durchaus seinen Nischenbereich in dem es viel Sinn macht - da gebe ich Dir recht.

Als Framework würde ich es nur begrenzt einsetzen und mir eher ezComponents oder das ZendFramework ansehen, oder auch CakePHP. Drupal ist zu sehr auf Drupal ausgerichtet um ein sinniges Framework zu sein. Genauso, wie Serendipity als Framework auch nur für Cracks Sinn macht. ;)

Viele Grüße,
Garvin
#1.1 Garvin (Link) am 19.10.2006 13:49 (Reply)

Kommentar schreiben

Pavatar, Favatar, Gravatar, Pavatar Autoren Bilder werden unterstützt.
BBCode-Formatierung erlaubt
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA