So sicher ist Joomla!

Beitrag von **emel** » 17.08.2008, 20:01

ja,
oder mit verwendung eine "caching" systems, also dass die seiten immer schon fertig vorliegen und gar keine db-abfragen gemacht werden.

von **Anzeige von ABAKUS** »

Beitrag von **JanG** » 17.08.2008, 20:36

ThomasSchmidt hat geschrieben:So viel zur Sicherheit von Joomla!, sie ist schlicht und einfach nicht vorhanden! Hoffe ich kann damit einige davor bewahren auf dieses CMS zurückzugreifen.

Sorry, aber du hast keine Ahnung worüber du hier überhaupt schreibst. Im Gegensatz zu dir habe ich jeden Tag mit Joomla zu tun, betreibe selbst eine große Seite zum Thema und kann dir versichern das es so sicher / unsicher ist wie alle anderen bekannten Systeme. Im direkten Vergleich ist es aber leider so einfach zu bedienen das es sich jeder Hansel ohne Hintergrundwissen installieren kann. Und genau das führt dann dazu das man sich nicht um Updates kümmert oder unsichere Komponenten verwendet.

Bevor du jetzt also überall schmollend das Märchen vom ach so unsicheren System verbreitest solltest du kurz in dich gehen, überlegen wo die Leiche bei deiner Installation im Keller begraben lag, und dann etwas objektiver Nachdenken wer wirklich die Schuld an diesem "Hack" trägt. Bei mir laufen zum Beispiel im Durchschnitt 130 automatisierte Angriffe die Stunde die alle ins Leere weil die Installation gut abgesichert ist, so unsicher kann Joomla also beim besten Willen nicht sein.

Gruß Jan

Beitrag von **cren** » 17.08.2008, 23:13

ThomasSchmidt hat geschrieben:Sicherheitsupdate hin oder her...

Stimmt, auch wenn man die Sicherheitsupdates nicht einspielt darf man erwarten, dass die Lücken nicht ausgenutzt werden...

Beitrag von **bara.munchies** » 18.08.2008, 02:44

JanG hat geschrieben: und kann dir versichern das es so sicher / unsicher ist wie alle anderen bekannten Systeme.

lol.
joomla:
https://www.google.com/search?q=joomla+ ... ilw0rm.com

wordpress:
https://www.google.com/search?q=wordpre ... ilw0rm.com

drupal
https://www.google.com/search?q=drupal+ ... ilw0rm.com

Beitrag von **Southmedia** » 18.08.2008, 09:06

Immer wieder wunderbar wie man sich über kostenlose Software aufregen kann.

Joomla ist Freie Software und steht unter der GNU General Public License.

Wenn es euch zu unsicher ist, nehmt doch einfach den Code, verbessert ihn und liefert den Code bei den Entwicklern ab. Die haben ganz sicher nichts dagegen.

Beitrag von **Pompom** » 18.08.2008, 10:50

... eigentlich müsste der Threadtitel in

"So blauäugig sind Seitenbetreiber"

oder

"So kümmere ich mich um meine gehackten Domains"
lauten.

Vielleicht sollte man mal deinem Hoster einen Wink geben, dass der die gehackte Domain vom Netz nimmt.

Wenn du schon keine Ahnung hast, was sie wie genau gemacht haben, hast du auch keine Ahnung davon, was sie alles gemacht haben.

Beitrag von **ole1210** » 18.08.2008, 11:20

@ JanG:
Das Posting von bara.munchies zeigt ja schon sehr anschaulich, wie unsicher Joomla im Vergleich zu anderen CMS ist.

Einen Vergleich mit Drupal würde ich nicht unbedingt ziehene, ebensowenig mit Typo3. Aber nimm dir mal WP zur Brust. Lässt sich einfacher und schneller installieren als Joomla, lässt sich über Themes und Plugins genauso einfach erweitern und anpassen.

Leider gibt es nur ungenaue Infos über die Verbreitung der einzelnen Systeme, ich bin aber recht überzeugt, das WP Jommla überholt hat. Google Trends könnte mir Recht geben:
https://www.google.com/trends?q=joomla% ... all&sort=0

Alles in allem zeigt das ziemlich deutlich, das von einer Nutzung von Joomla eigentlich nur dringendst abgeraten werden kann.

Beitrag von **jackwiesel** » 18.08.2008, 11:24

TPYO3 ist auch erst ab den Versionen die PHP 5 unterstützen dicht. Es gab vorher zum Teil haarsträubende Lücken und wir hätten niemals einem Kunden mit sicherheitsrelevanten Daten auf dem Server den Einsatz empfholen. Wenns um Sicherheit geht ist bei CMS wohl Plone die erste Wahl.

Gruß,
jw

Beitrag von **Texxter** » 18.08.2008, 11:47

Ich mag Joomla und warte nur drauf, dass meine 1.0.3-Version gehackt wird; dann bin ich endlich mal motiviert, auf Typo, Drupla oder sonstwas umzusteigen.

Updates will ich nicht machen, weil ich schon viel im Code angepasst habe und die Änderungen nicht verloren gehen sollen.

@ThomasSchmidt: Aber sag mal: SnL_ayaz_ ownz you ja immer noch? Kommst Du jetzt nicht mehr in Dein Backend? Oder kannst Du die Index per FTP nicht mehr austauschen?

Beitrag von **jab** » 18.08.2008, 11:52

Texxter hat geschrieben:Ich mag Joomla und warte nur drauf, dass meine 1.0.3-Version gehackt wird; dann bin ich endlich mal motiviert, auf Typo, Drupla oder sonstwas umzusteigen.
Updates will ich nicht machen, weil ich schon viel im Code angepasst habe und die Änderungen nicht verloren gehen sollen.

@ThomasSchmidt: Aber sag mal: SnL_ayaz_ ownz you ja immer noch? Kommst Du jetzt nicht mehr in Dein Backend? Oder kannst Du die Index per FTP nicht mehr austauschen?

Also wenn er es nicht mehr schafft, einfach dem Hacker ne Mail schreiben

. Hab schon mehrere Male mitbekommen, dass die tatsächlich sagen was sie gemacht haben und damit kann man dann alles wieder in Ordnung bringen

Ciao jab

Beitrag von **JanG** » 18.08.2008, 13:35

ole1210 hat geschrieben:@ JanG:
Das Posting von bara.munchies zeigt ja schon sehr anschaulich, wie unsicher Joomla im Vergleich zu anderen CMS ist...
...Alles in allem zeigt das ziemlich deutlich, das von einer Nutzung von Joomla eigentlich nur dringendst abgeraten werden kann.

Hallo
Wie sicher oder unsicher ein System ist hängt vor allem auch davon ab was der Betreiber so alles an Erweiterungen installiert hat. Nimmst du das Joomla Grundsystem selbst sind mir zum Beispiel überhaupt nur eine Hand voll Lücken bekannt. Jetzt alle (un)möglichen Kiddie-Komponenten mit in den Topf zu werfen lässt den Vergleich sehr hinken. Zumal ich selbst eine umfangreiche Liste mit "Unsicheren Komponenten" pflege vor denen wir ausdrücklich warnen. Ist dann eine super coole Clan-Erweiterung dabei die sich massenhaft Kiddies bei Funpic installieren treibt das die Zahl der "gehackten Seiten" nach oben. Um faire Zahlen zu ermitteln muss man dann auch schon beim Grundsystem selbst bleiben, denn nur dafür tragen die Entwickler auch die Verantwortung. Und genau dort steht Joomla auch im Vergleich zur "Konkurrenz" sehr gut da.

Das eigentliche Problem liegt darin begründet das man bei Joomla die Hürden zur Installation und Betrieb zu niedrig gelegt hat. Das zieht dann die absolut Unwissenden an die auch keine Lust verspüren etwas an diesem Umstand zu ändern. Vor allem aber wird auf Teufel komm raus jeder Mist installiert der irgendwie nützlich sein könnte. Selbstverständlich ohne sich vorher zu informieren oder sich Gedanken zur Sicherheit zu machen. CHMOD 777 so lange setzen bis es irgendwie funktioniert, ist mir alles schon zur genüge über den Weg gelaufen.

Gruß Jan

Beitrag von **ole1210** » 18.08.2008, 15:11

Schaue ich mir die aktuelle haarsträubende Sicherheitslücke (index.php?option=com_user&view=reset&layout=confirm) an, so hat das recht wenig mit erweiterungen etc. zu tun.

Klar, ein großteil der Sicherheitslücken kommt durch die Mods und Componenten zustanden. Aber auch bei Wordpress dürfen Hinz und Kunz Plugins programmieren...allerdings mit erheblich weniger dramatischen Folgen.

Um faire Zahlen zu ermitteln muss man dann auch schon beim Grundsystem selbst bleiben, denn nur dafür tragen die Entwickler auch die Verantwortung. Und genau dort steht Joomla auch im Vergleich zur "Konkurrenz" sehr gut da.

Hast du Zahlen zur Hand? das glaube ich kaum. Ich glaube eher Zahlen wie beispielsweise von IBM (https://www-05.ibm.com/de/pressroom/pre ... -mid08.pdf - seite 11). Ausserdem...wenn Joomla so sicher ist, warum ist es dann das OS-CMS mit der mit Abstand höchsten Update-Frequenz?

as eigentliche Problem liegt darin begründet das man bei Joomla die Hürden zur Installation und Betrieb zu niedrig gelegt hat.

Wie schon von mir angemerkt, WP lässt sich einfacher installieren.

Wie gesagt...Finger weg von Joomla!!

Beitrag von **moshcore666** » 18.08.2008, 21:03

Sicherheitsupdate hin oder her...

sorry, aber die Sicherheitswarnung ist schon lange raus. Mit nem Update wäre dir das nicht passiert

Is ja auch klar, umso größer und beliebter ein CMS wird umso mehr affen gibt es die Scheiße bauen

Beitrag von **jackwiesel** » 18.08.2008, 21:06

auch sorry, aber das ist doch nicht akzeptabel! Der Admin ist drei Wochen im Urlaub, es werden zwei Updates verpasst und die Seite ist gehackt...

Beitrag von **bara.munchies** » 19.08.2008, 05:00

ich kann es ja verstehen, dass man ein laufendes joomla system nicht unbedingt auf eine anderes cms migrieren möchte. das ist schon ein erheblicher aufwand. ich find auch gar nicht schlecht, dass die breite masse auf joomla und nicht auf drupal baut, das macht drupal für türkische scriptkiddies weniger interessant. also bleibt alle bei jommla und fangt mir diese idioten ab.