[TYPO3-UG Denmark] Sikkerhed - typo3

[Peter Klein]

Hej Lars.

Jeg baserer mine kommentarer på en diskussion jeg havde for et års tid siden 
med Michael Scharkow, da jeg spurgte om hvorfor nogle extensions forsvinder 
fra TER.
http://lists.netfielders.de/pipermail/typo3-team-typo3org/2006-September/001751.html

Du kan læse hele diskussionen her:
http://lists.netfielders.de/pipermail/typo3-team-typo3org/2006-September/001745.html

--
Peter

"Lars Houmark" <lars at typo3.org.invalid> wrote in message 
news:mailman.1.1190589257.15017.typo3-ug-denmark at lists.netfielders.de...
> Peter Klein wrote:
>
>> Desværre har TYPO3's security team en tåbelig policy. Når de finder en
>> extension der er sikkerheds problemer med, så skriver de til ham der har
>> lavet den, så han kan få lavet en update. Men hvis personen ikke svarer
>> tilbage, så sletter de bare extensionen fra TER, uden at OPLYSE NOGEN 
>> STEDER
>> steder at denne extension er en sikkerhedsrisiko. :(
>
> Hej Peter,
>
> Jeg er først nu blevet gjort opmærksom på denne post og håber i den
> forbindelse at din opfattelse siden du skrev ovenstående er ændret.
>
> Det er ikke korrekt at vi i sikkerhedsteamet ikke fortæller nogen at der 
> er
> fundet et sikkerhedshul i en extension. Som du kan se på [1] laver vi en
> bulletin til samtlige extensions som er fundet usikre. Dog ikke hvis der 
> er et
> meget lille antal downloads af den aktuelle extension, men jeg håber at vi 
> i
> fremtiden finder tid til at kunne lave en bulletin uanset hvor lille en
> extension er, men på grund af manglende features på typo3.org tager en 
> enkelt
> bulletin desværre ganske lang tid at lave.
>
> Derudover vil jeg gerne benytte lejligheden til at sige at vi rent faktisk
> netop er påbegyndt at lave blandt andet en extension policy som bliver
> offentlig, så alle ved præcist hvordan vi arbejder i relation til
> sikkerhedshuller i extensions.
>
> [1] http://typo3.org/teams/security/security-bulletins/
>
> Med venlig hilsen
>
> Lars Houmark
> Team leader for TYPO3's sikkerhedsteam