27
Bewertung Sicherheitsscan Internetseite
Moin,
wir haben durch einen Dienstleister eine neue Webseite aufsetzen lassen. Unser Firewallhersteller bietet für Kunden an, einen Schwachstellenscan auf die eigene Webseite laufen zu lassen. Habe ich gemacht, dabei wurden diverse Problematiken gefunden, auch mit hohem Sicherheitsrisiko. Das Ergebnis des Scans habe ich unserem Dienstleister vorgelegt, der behauptet nun allerdings, dass uns daraus keine Probleme erwachsen werden. Bin mir jetzt nicht sicher, was ich damit anfangen soll, da eine Behebung der Schwachstellen natürlich Geld kostet, die ich gern dem Dienstleister aufdrücken möchte. Der sagt allerdings, das wäre nicht so wild, wie im Report dargestellt.
Ich kann das mangels eigener Kenntnisse nicht wirklich beurteilen, vielleicht kann hier jemand etwas Erhellung ins Thema bringen? Macht es evtl. auch Sinn, den Report mal einem professionellen Pentester vorzulegen, um eine Einschätzung zu erhalten?
Als Lücken wurde u.a. folgendes gefunden (hohes Sicherheitsrisiko):
Ist das also etwas, was dringend behoben werden sollte? Die grundsätzliche Funktionalität von XSS ist mir bekannt.
Gruß
wir haben durch einen Dienstleister eine neue Webseite aufsetzen lassen. Unser Firewallhersteller bietet für Kunden an, einen Schwachstellenscan auf die eigene Webseite laufen zu lassen. Habe ich gemacht, dabei wurden diverse Problematiken gefunden, auch mit hohem Sicherheitsrisiko. Das Ergebnis des Scans habe ich unserem Dienstleister vorgelegt, der behauptet nun allerdings, dass uns daraus keine Probleme erwachsen werden. Bin mir jetzt nicht sicher, was ich damit anfangen soll, da eine Behebung der Schwachstellen natürlich Geld kostet, die ich gern dem Dienstleister aufdrücken möchte. Der sagt allerdings, das wäre nicht so wild, wie im Report dargestellt.
Ich kann das mangels eigener Kenntnisse nicht wirklich beurteilen, vielleicht kann hier jemand etwas Erhellung ins Thema bringen? Macht es evtl. auch Sinn, den Report mal einem professionellen Pentester vorzulegen, um eine Einschätzung zu erhalten?
Als Lücken wurde u.a. folgendes gefunden (hohes Sicherheitsrisiko):
Suche - Unser Unternehmen
https://www.homepage.de/suche/
The q parameter was submitted with the value yZP3V; alert(document.domain);//, and the string was echoed verbatim in the output, showing
that there is a reflected XSS vulnerability.Kontakt - Unser Unternehmen
https://www.homepage.de/kontakt/?
tx_powermail_pi1%5Baction%5D=confirmation&tx_powermail_
pi1%5Bcontroller%5D=Form&cHash=3db9c0d22acd35c3b05b
e1d17a6966b3
The tx_powermail_pi1[field][nachricht] parameter was submitted with the value wxjAM; alert(document.domain);//, and the string was echoed
verbatim in the output, showing that there is a reflected XSS vulnerability.Ist das also etwas, was dringend behoben werden sollte? Die grundsätzliche Funktionalität von XSS ist mir bekannt.
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 340739
Url: https://administrator.de/contentid/340739
Printed on: April 20, 2024 at 01:04 o'clock
27 Comments
Latest comment
Hallo,
ja, sollte behoben werden. ob das euer Dienstleister zu tragen hat ist aber fraglich, klar ist man angehalten Systeme sicher zu machen, auf der anderen Seite ist das immer die Sache mit dem Pflichtenheft - stehts drin? Ists Festpreis oder war der Dienstleister "günstig" ausgewählt?
Nachbessernlassen musst du das aber so oder so, im worst case schreibt dir das Ding sonst deine Seite um.
VG,
Christian
@certifiedit.net
PS: Darfst mir gerne mal die Site schicken, dann check ich die mal durch.
ja, sollte behoben werden. ob das euer Dienstleister zu tragen hat ist aber fraglich, klar ist man angehalten Systeme sicher zu machen, auf der anderen Seite ist das immer die Sache mit dem Pflichtenheft - stehts drin? Ists Festpreis oder war der Dienstleister "günstig" ausgewählt?
Nachbessernlassen musst du das aber so oder so, im worst case schreibt dir das Ding sonst deine Seite um.
VG,
Christian
@certifiedit.net
PS: Darfst mir gerne mal die Site schicken, dann check ich die mal durch.
Moin Christian,
das Pflichtenheft existiert, aber dieser Punkt wurde leider verpennt. Wobei ich mich frage, ob das nicht einfach eine Art von Schlamperei ist, wenn ich den Wikipedia-Eintrag zu XSS ansehe:
https://de.wikipedia.org/wiki/Cross-Site-Scripting
Hier heißt es u.a.
Um durch eine Webanwendung keine Basis für XSS-Angriffe zu bieten, müssen alle eingehenden Eingabewerte als unsicher betrachtet und vor der weiteren Verarbeitung auf der Serverseite geprüft werden.[3] Dabei sollte man sich nicht darauf verlassen, „böse“ Eingaben zu definieren (Schwarze Liste), um diese herauszufiltern, da man nicht genau wissen kann, welche Angriffsmethoden[4] es gibt. Besser ist es daher, die „guten“ Eingaben exakt zu definieren (Weiße Liste) und nur solche Eingaben zuzulassen. Dieses Verfahren zählt ganz allgemein zu den Best Practices der Programmierung und sollte wo immer möglich angewandt werden, um unerwartetes Programmverhalten zu verhindern. Allerdings ist es je nach Anwendung nicht immer ohne weiteres in der Praxis umzusetzen, besonders wenn die erlaubten Eingabewerte sehr zahlreich sind.
Bezogen auf das Aussehen der Seite? Es kann also "nur" die Seite verwüstet werden, oder kann das Schlimmeres nach sich ziehen? Also Datenabfluss, Manipulation, um Passwörter zu ergattern u.ä.
Gruß
das Pflichtenheft existiert, aber dieser Punkt wurde leider verpennt. Wobei ich mich frage, ob das nicht einfach eine Art von Schlamperei ist, wenn ich den Wikipedia-Eintrag zu XSS ansehe:
https://de.wikipedia.org/wiki/Cross-Site-Scripting
Hier heißt es u.a.
Um durch eine Webanwendung keine Basis für XSS-Angriffe zu bieten, müssen alle eingehenden Eingabewerte als unsicher betrachtet und vor der weiteren Verarbeitung auf der Serverseite geprüft werden.[3] Dabei sollte man sich nicht darauf verlassen, „böse“ Eingaben zu definieren (Schwarze Liste), um diese herauszufiltern, da man nicht genau wissen kann, welche Angriffsmethoden[4] es gibt. Besser ist es daher, die „guten“ Eingaben exakt zu definieren (Weiße Liste) und nur solche Eingaben zuzulassen. Dieses Verfahren zählt ganz allgemein zu den Best Practices der Programmierung und sollte wo immer möglich angewandt werden, um unerwartetes Programmverhalten zu verhindern. Allerdings ist es je nach Anwendung nicht immer ohne weiteres in der Praxis umzusetzen, besonders wenn die erlaubten Eingabewerte sehr zahlreich sind.
Nachbessernlassen musst du das aber so oder so, im worst case schreibt dir das Ding sonst deine Seite um.
Bezogen auf das Aussehen der Seite? Es kann also "nur" die Seite verwüstet werden, oder kann das Schlimmeres nach sich ziehen? Also Datenabfluss, Manipulation, um Passwörter zu ergattern u.ä.
Gruß
moin,
hast du deinen Dienstleister auch beauftragt die Webseite sicher zu gestalten? abgesehen davon, es kommen immer neue sicherheitslücken dazu... mal hier... mal dort, die kannst du nicht immer auf den Dienstleister/Webdesigner abladen. abgesehen davon sind die meisten begnadeten Künstler von Sicherheit nicht viel Ahnung haben. Besser ist es mit dem Dienstleister/Webdesigner einen Wartungsvertrag zu machen, und ihn mit einem Sicherheits Dienstleister zusammen arbeiten zu lassen.
Frank
hast du deinen Dienstleister auch beauftragt die Webseite sicher zu gestalten? abgesehen davon, es kommen immer neue sicherheitslücken dazu... mal hier... mal dort, die kannst du nicht immer auf den Dienstleister/Webdesigner abladen. abgesehen davon sind die meisten begnadeten Künstler von Sicherheit nicht viel Ahnung haben. Besser ist es mit dem Dienstleister/Webdesigner einen Wartungsvertrag zu machen, und ihn mit einem Sicherheits Dienstleister zusammen arbeiten zu lassen.
Frank
Hallo,
nein, mit umschreiben der Seite meinte ich tatsächlich alles von Aussehen (wobei jemand dumm wäre, wenn er das tut), bis hin zu Datenabziehen bis hin zu Schadcode/Trojaner über die Seite verbreiten.
Wie gesagt, es kommt auf den Dienstleister an. Webdesigner sind eben oft nur Webdesigner und keine Techniker, wie Frank es auch schon anmerkte.
VG
nein, mit umschreiben der Seite meinte ich tatsächlich alles von Aussehen (wobei jemand dumm wäre, wenn er das tut), bis hin zu Datenabziehen bis hin zu Schadcode/Trojaner über die Seite verbreiten.
Wie gesagt, es kommt auf den Dienstleister an. Webdesigner sind eben oft nur Webdesigner und keine Techniker, wie Frank es auch schon anmerkte.
VG
Moin Frank,
Pflegevertrag existiert. In diesem Fall geht es ja darum, ob seitens des Dienstleisters bestehende Best practices nicht eingehalten werden.
Gruß
Pflegevertrag existiert. In diesem Fall geht es ja darum, ob seitens des Dienstleisters bestehende Best practices nicht eingehalten werden.
Gruß
Zitat von @Coreknabe:
Moin Frank,
Pflegevertrag existiert. In diesem Fall geht es ja darum, ob seitens des Dienstleisters bestehende Best practices nicht eingehalten werden.
Gruß
Moin Frank,
Pflegevertrag existiert. In diesem Fall geht es ja darum, ob seitens des Dienstleisters bestehende Best practices nicht eingehalten werden.
Gruß
Das kannst nur du beantworten. Gibt es BP?
@certifiedit
Würde sowas der Hoster bemerken, weil z.B. ungewöhnliche Aktivitäten im Netz vorherrschen? Die müssten doch sowas wie ein IPS betreiben?
Würde sowas der Hoster bemerken, weil z.B. ungewöhnliche Aktivitäten im Netz vorherrschen? Die müssten doch sowas wie ein IPS betreiben?
Das kannst nur du beantworten. Gibt es BP?
Laut Wikipedia schon 
Muss nicht. Die meisten Hoster bemerken sowas erst, wenn es Abusemeldungen gibt (oder kehren es unter den Teppich). Auch muss ein Hoster kein IPS betreiben, gerade wenn man auf die Massen 08/15 geht. Kostet schliesslich alles @verelox.
Wikipedia ist aber nicht Vertragsgegenstand (denke ich
)Wenn er keine BPs vorgelegt hat in Hinsicht auf Sicherheit/XSS kann das drin sein, muss aber nicht.
OK, prima, da habt Ihr beiden mir erst mal weitergeholfen. Danke Euch!
Zitat von @Coreknabe:
Moin Frank,
Pflegevertrag existiert. In diesem Fall geht es ja darum, ob seitens des Dienstleisters bestehende Best practices nicht eingehalten werden.
tja da wird es aber nur um Inhalte & Design gehen!Moin Frank,
Pflegevertrag existiert. In diesem Fall geht es ja darum, ob seitens des Dienstleisters bestehende Best practices nicht eingehalten werden.
in der regel weiß der Webdesigner ja nicht mal wie er das beheben kann bzw. was er beheben soll...
Würde sowas der Hoster bemerken, weil z.B. ungewöhnliche Aktivitäten im Netz vorherrschen? Die müssten doch sowas wie ein IPS betreiben?
nein müssen die nicht, es se denn ihr habt es beauftragt... kastet aber ne kleinigkeit. also für 19,50,- netto bekommst du das nicht.Frank
Gruß
Zitat von @Coreknabe:
Moin Frank,
Pflegevertrag existiert. In diesem Fall geht es ja darum, ob seitens des Dienstleisters bestehende Best practices nicht eingehalten werden.
Moin Frank,
Pflegevertrag existiert. In diesem Fall geht es ja darum, ob seitens des Dienstleisters bestehende Best practices nicht eingehalten werden.
Meiner Ansicht nach gehört Input Sanitization zu den Grundlagen des Webdesigns, Das ist spätestens seit "Little Bobby Tables" Allgemeinwissen.
Ich würde da auf Nachbesserung beharren.
lks
Zitat von @Lochkartenstanzer:
Meiner Ansicht nach gehört Input Sanitization zu den Grundlagen des Webdesigns, Das ist spätestens seit "Little Bobby Tables" Allgemeinwissen.
Ich würde da auf Nachbesserung beharren.
lks
Zitat von @Coreknabe:
Moin Frank,
Pflegevertrag existiert. In diesem Fall geht es ja darum, ob seitens des Dienstleisters bestehende Best practices nicht eingehalten werden.
Moin Frank,
Pflegevertrag existiert. In diesem Fall geht es ja darum, ob seitens des Dienstleisters bestehende Best practices nicht eingehalten werden.
Meiner Ansicht nach gehört Input Sanitization zu den Grundlagen des Webdesigns, Das ist spätestens seit "Little Bobby Tables" Allgemeinwissen.
Ich würde da auf Nachbesserung beharren.
lks
Sollte man meinen, aber eigentlich gehört auch eine ordentliche Firewall vor jedes (Business)-Netz, wie viele Fritten siehst du da? Nächstes mal auch auf dies im Pflichtenheft achten. Oder eine entsprechende CMS nehmen.
Sanitization zu den Grundlagen des Webdesigns...
der war gut *grins*das sollst du mal einem Typo3 & Joomla Designer mitteilen... die kommen sofort mit WordPress umme Ecke...
Frank
Sollte man meinen, aber eigentlich gehört auch eine ordentliche Firewall vor jedes (Business)-Netz, wie viele Fritten siehst du da? Nächstes mal auch > auf dies im Pflichtenheft achten. Oder eine entsprechende CMS nehmen.
Ja, schwierig. Eingesetzt wird Typo3 in der 7.6er-Version und offizielles Statement des Dienstleisters ist, dass schließlich Standardmodule verwendet wurden. Der Dienstleister würde die Kosten übernehmen, wenn wir nachweisen könnten, dass ein Bug in diesem Modul ist, der noch nicht gefunden wurde. Auch ne steile These, wenn Ihr mich fragt.
Ich gebe das jetzt einfach mal an einen Pentester, der diesen Report beurteilen soll. Nötig ist für mich eine belastbare Grundlage und für diese reicht mein eigenes Wissen nicht aus. Rein gefühlsmäßig würde ich aber zur Meinung von @lks tendieren.
Und Dein Vergleich mit den Fritten hinkt für mich etwas (vielleicht sogar etwas mehr), wenn mir ein Dienstleister sowas für mein Unternehmen empfiehlt, kann ich diesen Dienstleister nicht empfehlen. Wobei das für den kleinen Handwerksbetrieb mit 3 Leuten sogar vielleicht noch OK wäre, kommt halt auf den eigenen Laden an --> Reine Rechenaufgabe und Risikoabwägung.
Zitat von @Vision2015:
das sollst du mal einem Typo3 & Joomla Designer mitteilen... die kommen sofort mit WordPress umme Ecke...
Sanitization zu den Grundlagen des Webdesigns...
der war gut *grins*das sollst du mal einem Typo3 & Joomla Designer mitteilen... die kommen sofort mit WordPress umme Ecke...
Mache ich bei jeder sich bietenden Gelegenheit und führe denen Varianten von Bobby Tables vor, notfalls bis zur "zerstörung" Ihres Werks, um damit ihnen nachhaltig zu zeigen, was sie da verbockt haben.
lks
Ein Pentester wird dir aber auch nichts bringen. Denn hier kommen wir wieder zum Punkt: Wenn du nur eine Fritte bestellst (was oftmals aus Kostengründen wohl so passiert), wirst du auch nur eine Fritte bekommen. Mehr Aufwand, mehr Kosten.
Ich halte von Typo3 relativ wenig, nur am Rande gesprochen, die Zyklen und Bugfixes sind zu lang. Stichwort: Die 8.7.1 ist die LTS und da sind noch nichtmal ansatzweise nützlich viele Module/Plugins implementiert. Wann soll man denn Upgraden - wenn die 9.1 released wurde?
Andersherum gesagt: Wenn Ihr Typo3 gewünscht habt und es tatsächlich Fehler in Typo3 sind (was nochmals ein Punkt gegen das CMS wäre, mich aber auch nicht wundern würde) kann er als Webdesigner, egal ob aus technischem oder designbackground gesehen nichts dafür. Wieder Stichwort Pflichtenheft.
VG
PS: Nur um das Klarzustellen: Ich befürworte weder eine Frittenkonstellation, noch unsichere Websites und investiere für meine Seiten auch einige Zeit um das Sicherzustellen, nur ist es oft genug so, dass "die Website läuft" und die restlichen Features egal sind bzw schlicht nicht bezahlt werden wollen. Dies soll eine Mahnung zum Umdenken sein.
Ich halte von Typo3 relativ wenig, nur am Rande gesprochen, die Zyklen und Bugfixes sind zu lang. Stichwort: Die 8.7.1 ist die LTS und da sind noch nichtmal ansatzweise nützlich viele Module/Plugins implementiert. Wann soll man denn Upgraden - wenn die 9.1 released wurde?
Andersherum gesagt: Wenn Ihr Typo3 gewünscht habt und es tatsächlich Fehler in Typo3 sind (was nochmals ein Punkt gegen das CMS wäre, mich aber auch nicht wundern würde) kann er als Webdesigner, egal ob aus technischem oder designbackground gesehen nichts dafür. Wieder Stichwort Pflichtenheft.
VG
PS: Nur um das Klarzustellen: Ich befürworte weder eine Frittenkonstellation, noch unsichere Websites und investiere für meine Seiten auch einige Zeit um das Sicherzustellen, nur ist es oft genug so, dass "die Website läuft" und die restlichen Features egal sind bzw schlicht nicht bezahlt werden wollen. Dies soll eine Mahnung zum Umdenken sein.
Zitat von @falscher-sperrstatus:
Sollte man meinen, aber eigentlich gehört auch eine ordentliche Firewall vor jedes (Business)-Netz, wie viele Fritten siehst du da? Nächstes mal auch auf dies im Pflichtenheft achten. Oder eine entsprechende CMS nehmen.
Sollte man meinen, aber eigentlich gehört auch eine ordentliche Firewall vor jedes (Business)-Netz, wie viele Fritten siehst du da? Nächstes mal auch auf dies im Pflichtenheft achten. Oder eine entsprechende CMS nehmen.
Naja,
Es ist wie immer die minimierung der Kosten: Was kostet einen ein erfolgreiche Angriff im Verhältnis zu den Kosten der Abwehr solch eines Angriffes und was kann sich die Firma überhaupt leisten. Wenn es nach mir ginge. würde ich jedem zumindest eine ordentliche pfsense (oder gar checkpoint) hinstellen. Aber für manchen Kleinbetrieb wäre das eine Investition, die in keinem Verhältnis zu dem Nutzen steht, vor allem, wenn man die Pflege ernst nimmt. Und von den Anforderungen reicht denen oft wirklich eine Fritzbox.
lks
Zitat von @Lochkartenstanzer:
Naja,
Es ist wi immer die minimierung der Kosten: Was kostet einen ein erfolgreiche Angriff im Verhältnis zu den Kosten der Abwehr solch eines Angriffes und was kann sich die Firma überhaupt leisten. Wenn es nach mir ginge. würde ich jedem zumindest eine ordentliche pfsense (oder gar checkpoint) hinstellen. Aber für manchen Kleinbetrieb wäre das eine Investition, die in keinem Verhältnis zu dem Nutzen steht, vor allem, wenn man die Pflege ernst nimmt. Und von den Anforderungen reicht denen oft wirklich eine Fritzbox.
lks
Zitat von @falscher-sperrstatus:
Sollte man meinen, aber eigentlich gehört auch eine ordentliche Firewall vor jedes (Business)-Netz, wie viele Fritten siehst du da? Nächstes mal auch auf dies im Pflichtenheft achten. Oder eine entsprechende CMS nehmen.
Sollte man meinen, aber eigentlich gehört auch eine ordentliche Firewall vor jedes (Business)-Netz, wie viele Fritten siehst du da? Nächstes mal auch auf dies im Pflichtenheft achten. Oder eine entsprechende CMS nehmen.
Naja,
Es ist wi immer die minimierung der Kosten: Was kostet einen ein erfolgreiche Angriff im Verhältnis zu den Kosten der Abwehr solch eines Angriffes und was kann sich die Firma überhaupt leisten. Wenn es nach mir ginge. würde ich jedem zumindest eine ordentliche pfsense (oder gar checkpoint) hinstellen. Aber für manchen Kleinbetrieb wäre das eine Investition, die in keinem Verhältnis zu dem Nutzen steht, vor allem, wenn man die Pflege ernst nimmt. Und von den Anforderungen reicht denen oft wirklich eine Fritzbox.
lks
Ist der Betrieb erst ruiniert kann man gerne darüber spekulieren. Aber das dachten sich die bei Verelox? wohl auch. Wie im anderen Beitrag in Hinsicht auf die Kundendaten, als ich mitbekommen habe, dass auf meines örtlichen Hausarzt PCs Viren gefunden wurden habe ich diesen flux ausgetauscht. Geht eben nicht. Auf der anderen Seite muss man sich die Arbeitserleichterung vor Augen führen, da ist die ordentliche Pflege eigentlich(!) mit drin.
Auf der anderen Seite muss man sich die Arbeitserleichterung vor Augen führen, da ist die ordentliche Pflege eigentlich(!) mit drin.
Damit vergisst Du aber, dass Du als Betrieb nicht nur die Hardware samt Supportvertrag brauchst, sondern auch jemanden, der den Krempel administriert und dafür bezahlt werden will. Und sooo hohe Margen hat ein kleiner Handwerksbetrieb sicher nicht. Ist dem auch völlig wumpe, ob es alle Jubeljahre mal sein System zerlegt. Da kommt "einer, der sich mit PCs auskennt" und flickschustert das wieder hin. Oder macht gleich alles neu.Und außerdem wird's langsam OT
@ot: Klar, Immer, wir haben weder Details zu deiner Seite, noch zu den Umständen des Vertrags. Also bleibt dir eigentlich nur das direkte Gespräch. Es scheiden sich die Geister. Klar ist nur, das, was du forderst stand nicht in der Ausschreibung.
Je nach dem, kommt auch gerne auf die Einstellung zur IT an.
Aber du hast die Sichtweisen gehört, schliessen wir es ab.
Schönen Tag noch
Je nach dem, kommt auch gerne auf die Einstellung zur IT an.
Aber du hast die Sichtweisen gehört, schliessen wir es ab.
Schönen Tag noch
Hallo
Sorry aber du solltest dich mal wieder mit Typo3 auseinander Setzten. Auch die Version 7 ist noch im LTS und wird mit Sicherheitsupdates regulär gewartet
Die Version 8 ist grad erst mal seit 2-3 Monaten LTS. 8.0 - 8.6 waren alle nicht LTS
Die Zyklen haben sich grundlegen Geändert.
https://typo3.org/typo3-cms/roadmap/
Zum Thema,
Power-Mail ist meiner Meinung mach einer der besser gewarteten Plugin's ich würd mal die Version überprüfen aktuell ist 3.19.0
Zitat von @falscher-sperrstatus:
Ich halte von Typo3 relativ wenig, nur am Rande gesprochen, die Zyklen und Bugfixes sind zu lang. Stichwort: Die 8.7.1 ist die LTS und da sind noch nichtmal ansatzweise nützlich viele Module/Plugins implementiert. Wann soll man denn Upgraden - wenn die 9.1 released wurde?
Ich halte von Typo3 relativ wenig, nur am Rande gesprochen, die Zyklen und Bugfixes sind zu lang. Stichwort: Die 8.7.1 ist die LTS und da sind noch nichtmal ansatzweise nützlich viele Module/Plugins implementiert. Wann soll man denn Upgraden - wenn die 9.1 released wurde?
Sorry aber du solltest dich mal wieder mit Typo3 auseinander Setzten. Auch die Version 7 ist noch im LTS und wird mit Sicherheitsupdates regulär gewartet
Die Version 8 ist grad erst mal seit 2-3 Monaten LTS. 8.0 - 8.6 waren alle nicht LTS
Die Zyklen haben sich grundlegen Geändert.
https://typo3.org/typo3-cms/roadmap/
Zum Thema,
Power-Mail ist meiner Meinung mach einer der besser gewarteten Plugin's ich würd mal die Version überprüfen aktuell ist 3.19.0
Richtig, aber wenn er sagt, dass es alles Standardmodule sind und im weiteren Verlauf hat sich herausgestellt, dass Typo3 eben nicht so fein programmiert ist.
Kurze Google Suche:
Besagt auch schon einiges. Da bringt es mir nichts, wenn die Version 7.6 im LTS ist, wenn es solche Mängel gibt.
Richtig, die Zyklen haben sich grundlegend geändert. Also kannst du das Ding erst mit einer Version, die nahe an der nächsten ist (mit neuen Features dann) wenn überhaupt: Stichwort Module tatsächlich einsetzen.
Kurze Google Suche:
Authors: Nicole Cordes, Category: TYPO3 CMS February 28, 2017. It has been discovered, that TYPO3 is vulnerable to Cross-Site Scripting.
Besagt auch schon einiges. Da bringt es mir nichts, wenn die Version 7.6 im LTS ist, wenn es solche Mängel gibt.
Richtig, die Zyklen haben sich grundlegend geändert. Also kannst du das Ding erst mit einer Version, die nahe an der nächsten ist (mit neuen Features dann) wenn überhaupt: Stichwort Module tatsächlich einsetzen.
Hi,
Ein wenig offtopic, welcher Firewallhersteller bietet seinen Kunden einen Schwachstellen Scan an ?
Mit freundlichen Grüßen
Ein wenig offtopic, welcher Firewallhersteller bietet seinen Kunden einen Schwachstellen Scan an ?
Mit freundlichen Grüßen
Zitat von @falscher-sperrstatus:
Richtig, aber wenn er sagt, dass es alles Standardmodule sind und im weiteren Verlauf hat sich herausgestellt, dass Typo3 eben nicht so fein programmiert ist.
Kurze Google Suche:
Besagt auch schon einiges. Da bringt es mir nichts, wenn die Version 7.6 im LTS ist, wenn es solche Mängel gibt.
Das ist doch mit Version 7.6.16 gefixt worden.Richtig, aber wenn er sagt, dass es alles Standardmodule sind und im weiteren Verlauf hat sich herausgestellt, dass Typo3 eben nicht so fein programmiert ist.
Kurze Google Suche:
Authors: Nicole Cordes, Category: TYPO3 CMS February 28, 2017. It has been discovered, that TYPO3 is vulnerable to Cross-Site Scripting.
Besagt auch schon einiges. Da bringt es mir nichts, wenn die Version 7.6 im LTS ist, wenn es solche Mängel gibt.
https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-cor ...
Du kannst wenn du willst genug Fehler zu. Joomla, Wordpress und allen anderen CMS Lösungen raus suchen wenn du willst.
Wichtig ist das für so System Zeitnah Korrekturen bereitgestellt werden und das diese, was das Problem vom TO ist, auch zeitnah eingespielt werden. Bei Typo3 ist das nicht der große aufwand kostet aber auch Zeit und muss auch getestet werden.
@7Gizmo7
In unserem Fall Barracuda
Das ist aber mit ein wenig Vorsicht zu genießen, weil es zum Schutz gegen diese pöhsen Lücken eine Lösung von Barracuda gibt. Ein Schelm, wer Böses dabei denkt...
Der Pentester meinte auch, dass das ein recht oberflächlicher Scan ist und es durchaus möglich ist, dass es sich um harmloses XSS handelt. So kann ich mir beispielsweise LOKAL an meinem Rechner einen Text ausgeben lassen, der mir aber nichts bringt. Bitte keine weiteren Nachfragen oder Diskussionen zu dieser Aussage, genau weiß ich es auch nicht, habe ich aber schon von verschiedenen Stellen gehört. So, und der Pentester bietet mir natürlich einen ausführlichen Pentest an, der auch nicht ganz günstig ist. Aber damit muss man leben, wenn das eigene Wissen begrenzt ist..
Für diesen Fred soll das mein letzter Beitrag sein, abgeschwiffen sind wir schon genug
In unserem Fall Barracuda
Das ist aber mit ein wenig Vorsicht zu genießen, weil es zum Schutz gegen diese pöhsen Lücken eine Lösung von Barracuda gibt. Ein Schelm, wer Böses dabei denkt...
Der Pentester meinte auch, dass das ein recht oberflächlicher Scan ist und es durchaus möglich ist, dass es sich um harmloses XSS handelt. So kann ich mir beispielsweise LOKAL an meinem Rechner einen Text ausgeben lassen, der mir aber nichts bringt. Bitte keine weiteren Nachfragen oder Diskussionen zu dieser Aussage, genau weiß ich es auch nicht, habe ich aber schon von verschiedenen Stellen gehört. So, und der Pentester bietet mir natürlich einen ausführlichen Pentest an, der auch nicht ganz günstig ist. Aber damit muss man leben, wenn das eigene Wissen begrenzt ist..
Für diesen Fred soll das mein letzter Beitrag sein, abgeschwiffen sind wir schon genug
1
