[TYPO3-UG Denmark] Sikkerhed - typo3

[Lars Houmark]

Peter Klein wrote:

> Desværre har TYPO3's security team en tåbelig policy. Når de finder en
> extension der er sikkerheds problemer med, så skriver de til ham der har
> lavet den, så han kan få lavet en update. Men hvis personen ikke svarer
> tilbage, så sletter de bare extensionen fra TER, uden at OPLYSE NOGEN STEDER
> steder at denne extension er en sikkerhedsrisiko. :(

Hej Peter,

Jeg er først nu blevet gjort opmærksom på denne post og håber i den
forbindelse at din opfattelse siden du skrev ovenstående er ændret.

Det er ikke korrekt at vi i sikkerhedsteamet ikke fortæller nogen at der er
fundet et sikkerhedshul i en extension. Som du kan se på [1] laver vi en
bulletin til samtlige extensions som er fundet usikre. Dog ikke hvis der er et
meget lille antal downloads af den aktuelle extension, men jeg håber at vi i
fremtiden finder tid til at kunne lave en bulletin uanset hvor lille en
extension er, men på grund af manglende features på typo3.org tager en enkelt
bulletin desværre ganske lang tid at lave.

Derudover vil jeg gerne benytte lejligheden til at sige at vi rent faktisk
netop er påbegyndt at lave blandt andet en extension policy som bliver
offentlig, så alle ved præcist hvordan vi arbejder i relation til
sikkerhedshuller i extensions.

[1] http://typo3.org/teams/security/security-bulletins/

Med venlig hilsen

Lars Houmark
Team leader for TYPO3's sikkerhedsteam