[TYPO3-german] Vorankuendigung Security-Bulletin

[Georg Ringer]

Guten morgen,

ich möchte auf das Thema etwas mehr eingehen.

Am 05.10.2010 23:29, schrieb Axel Joensson:
> Ich habe Zweifel, ob eine solche Vorankündigung der Sicherheit dient.
> Nicht jeder hat pünktlich zum angekündigten Zeitpunkt auch Zeit, alles
> andere zwecks Installation eines Updates fallen zu lassen, ganz
> abgesehen davon, ob die Server der zu erwartenden Last beim so
> zwangsläufig hervorgerufenen Ansturm der Downloads Stand halten werden.

Der Sicherheit dient eine solche Vorankündigung und diese werden auch in
Zukunft beibehalten werden. Der Grund wurde schon erwähnt: Man kann sich
leichter vorher die Zeit einplanen.

Es wird heute auch zusätzlich eine Möglichkeit vorgestellt,
Installationen via Shell in wenigen Sekunden zu patchen und dann in
aller Gemütlichkeit auf die richtige Installation upzugraden.

Der Ansturm wird nicht soo riesig werden weil du ja auch nicht für jeden
Client die Installation neu ziehst (hoff ich mal).

> Wer erst abends dazu kommt, wird möglicherweise sogar einer erhöhten
> Gefahr von Angriffen ausgesetzt, zumal die ungewöhnliche Ankündigung die
> Befürchtung weckt, dass es sich mutmaßlich um ein wirkliches Scheunentor
> handeln muss. 

Ohne genaueres verraten zu können ist es jetzt nicht so, dass man durch
einen Angriff in sekundenschnelle jede beliebige Seite übernehmen kann.
Deine Sorge dass auch die Hacker benachrichtigt werden ist eher
unbegründet, denn die werden das ohnedies heute ebenso. Du hast
allerdings die Möglichkeit, dir die Zeit zu reservieren und hast einen
entsprechenden Zeitvorsprung.

Zu den anderen Punkten aus dem Thread
> Ich weiß aber nicht, ob man erwarten kann, dass Typo3 nur von
> 100-%-Profis eingesetzt wird, die dann allerdings ja heute früh auch
> gleich mehrere Installationen schnellstmöglich aktualisieren müssen

nun auch wenn man nicht ein 100%-Profi ist, gibt es zahlreiche
Möglichkeiten, dennoch sicher zu leben. ZB kann man bei TYPO3-Hostern
Accounts haben, die automatisch gepatcht werden oder man hat einen
eigenen Server und den dann hoffentlich so konfiguriert, dass man nur 1
Installation oder zumindest nur jede Version 1x aktualisieren muss.

> Just three more things: Schon bei weniger dramatisch angekündigten Fixes
> haben früher binnen Stunden Angriffe zumindest auf prominente Ziele
> eingesetzt (war Schäubles Website nicht mal eins, und Schalke?).

Nochmals: Wenn ich eine profesionelle Seite habe oder sogar davon lebe,
habe ich hoffentlich einen Dienstleister, der das aufgrund eines SLA
übernimmt und dafür auch die notwendigen Resourcen hat.

> Eine
> solche Ankündigung hab ich in etlichen Jahren (in denen ich mich
> zeitweise nicht um Typo3 gekümmert hab) noch nicht erlebt.

Hat es schon gegeben und wird es bei entsprechender Notwendigkeit wieder
geben.


> Vielleicht
> ist mir was entgangen. Meine Lösung ist brutal, aber simpel: Die von mir
> betreute Installation geht morgen vor Disclosure offline per Umleitung
> der Domain auf ein Vrzeichnis mit der Info "unavailable", bis ich
> nachmittags Zeit habe.

Etwas brutal und vor allem wird dir das abschalten bzw die Anrufe
nachher wesentlich mehr Zeit kosten als das Fixen per se.


> Dazu kommt noch, dass es jedes Mal unterschiedliche Stände sind, weil
Kunden
> kein Update wollten oder die "alten" System "sicherheitslos" liefen.

Wer sagt denn dass man alle Kunden updaten *muss*. Normalerweise ist das
so, dass man dafür einen SLA braucht und dieser ist auch bezahlt. Und
bezahlte Arbeit sollte doch hoffentlich ok sein.

> Dazu
> kommt noch alle Kunden über das Update zu informieren und deren okay
> einzuholen.... Neben den reinen Update müssen im Anschluss die Seiten
> ja auch wieder geprüft werden, ob sie fehlerfrei laufen, ob alle
> Erweiterungen funktionieren und und und....

@ Informieren: Du wirst wohl ein Mailingsystem haben, und nicht jede
Kundenemail jedesmal von Visitenkarten abschreiben?? Und eben siehe
vorher > SLA und fertig. Aber ich geb dir natürlich recht. Wenn man das
bürokratisch übertreiben will, dann ist das eine perfekte Möglichkeit.

und zu guter letzt
> Für alle, die morgen keine Zeit haben Updates durchzuführen:
> Ich übernehme gerne die Aufgabe, Installationen zu aktualisieren um die
> betroffenen Domains zeitnah vor Angriffen zu schützen.

Sieh an, da gibt es schon einen Dienstleister, der das übernehmen
könnte. Super!
Abgesehen davon: Was ist denn wenn eure Kunden gehackt werden. Hat man
da dennoch auf einmal auch keine Zeit und der Kunde hat Pech? Ist das
wirklich so?

Liebe Grüße
Georg
Mitglied des TYPO3 Security Teams