[TYPO3-german] Sind alle Hacker Hartz IV Empfaenger?

[Markus Deckmann]

Hi Andreas,

> Diejenigen die sich jetzt angesprochen fuehlen sollten daher sehr gut
> zuhoeren und lesen. Ich bin der Meinung, dass jede Agentur bei der einer
> dieser Hacker beschaeftigt oder fuer die einer dieser Hacker taetig ist/war
> - sich unverzueglich von ihnen trennen sollten und zwar oeffentlich, um auch
> andere Agenturen vor diesen Unholden zu warnen.

Kommt das nicht auch drauf an in welchem Kontext ein Hack begangen 
wurde? Stellen wir uns doch mal bspw. eine Agentur vor die den 
Kundenauftritt in ein Testsystem packt und dort mit "einigen solcher" 
Hacker die Lücken testet. Das wäre ein ganz anderer Kontext und in 
meinen Augen durchaus hilfreich für die Sicherheit des Live-Auftritts. 
Sich von solch einem Dienstleister zu trennen, nur weil er Hacker 
beschäftigt, ist IMHO ein bisschen kurzsichtig gedacht. ;-)

Ich stimme dir natürlich zu das Script-Kiddies die lediglich 
irgendwelche Exploits nutzen und damit u.U. Schaden anrichten weil sie 
es unbedacht bei Live-Seiten "anwenden" entsprechend gestoppt gehören.


> Ich stimme Ronald voll und ganz zu, dass man diesen Hackern das Handwerk
> legen sollte, ebenso jeder Agentur, die deren Handeln billigt/duldet oder
> womoeglich als deren Privat Sache abtut!!

Du stimmst also beiden Seiten zu? ;-)


> Desweiteren sollte einmal diskutiert werden, was man tun sollte, nachdem
> eine Seite gehackt, bzw. nachdem ein Hacker sich Access zur Localconf /
> phpmyadmin / typo3 und was weis ich noch verschafft hat.

Ich würde mal sagen das man hier mehr Energie in die Sicherung von Typo3 
legen sollte. Bspw. durch oben geschriebenen Testsystem in dem ein 
Kundenauftritt vor Live-Gang auf die Lücken getestet wird. 
Standard-Sachen wie Formular-Tests auf ungültige Eingaben usw. könnte 
man bestimmt entsprechend automatisieren. Und für den Rest müssen ein 
paar sicherheits-informierte Leute diverse Hacks auf das Testsystem 
ausführen um die restlichen Schwachstellen zu finden.

Ob das allerdings etwas ist, aufgrund der diversen Testumgebungen usw., 
das von der Typo3-Open Source Community getragen werden kann oder eine 
Dienstleistung einer Agentur, macht im ersten Moment erst mal noch 
keinen Unterschied. Je nachdem auf wessen Schultern man die 
Verantwortung für die Sicherheit ablegen will. Soll es der Kunde sein 
stellt es in meinen Augen sogar eine unabdingbare Notwendigkeit dar das 
eine Agentur bspw. auch Hacker beschäftigt, da diese ja dort die Aufgabe 
haben die Sicherheitslücken zu finden. Will man es in den 
Sicherheits-Bereich der Community stecken hätte man den Vorteil das man 
auch als Agentur die keinen extra Sicherheitsbereich besitzt eine 
entsprechende "Grundsicherung" erwarten kann, da ja eine Gruppe aus 
Leuten (ob jetzt Hacker oder nicht) im Vorfeld dokumentiert die 
Schwachstellen von Typo3 abgeklopft haben.

Hier können denke ich dann auch diverse gängige Extension-Kombinationen 
getestet werden um auch Fehler in den Extensions zu finden. Denke ich 
ist auch ein wichtiger Bereich. Im TER könnte man die Informationen der 
einzelnen Extensions doch dann auch bestimmt um einen Eintrag dieser 
Sicherheits-Tests erweitern um gleich bei dieser Auswahl die 
verschiedenen Sicherheiten zu sehen. Würde noch ein bisschen mehr 
Aufschluss auf einen Blick geben als nur der Status Alpha, Beta und 
Stable. So ist der Kunde bzw. die Agentur immer "gezwungen" diverse 
Groups und Mailinglisten zu lesen um sich sicherheitstechnisch auf dem 
laufenden zu halten. Das könnte man ihm bzw. der Agentur durchaus denke 
ich durch solch eine Gruppe "ersetzen".


> Ich denke, dass dieses Thema immer mehr zu einem sehr wichtigen Thema wird
> und man bekanntlich den Hackern nur begegnen kann wenn man auch
> entsprechende Beweise bei z.B. der Staatsanwaltschaft vorlegen kann!

Auch dafür braucht es in meinen Augen Leute die sich in das Denken eines 
solchen Menschen hineinversetzen können und das notwendige Fachwissen 
haben solche Anwendungen entsprechend "anzugreifen". Wie ich schon 
gesagt habe, auf Live-Systemen sollte das nicht erfolgen (wobei ich 
solch einen Hack wie er jetzt bei Schäuble passiert ist durchaus als 
nicht so bedenklich einstufe weil ja doch eine Nachricht wie man das 
Loch behebt hinterlassen wurde), auf einem entsprechend "gleichwertigen" 
Testsystem solche Hacks zu versuchen halte ich allerdings nicht für 
verwerflich, erhöhen sie in meinen Augen eher die Sicherheit des 
"Endprodukts" und steigern so die Akzeptanz beim Kunden bzw. bei den 
Agenturen.

Ciao Markus