Groups | Search | Server Info | Keyboard shortcuts | Login | Register [http] [https] [nntp] [nntps]

Groups > de.comp.lang.php > #4571

Re: CMS für Dummies für responsive und verschlüsselte Websites?

From Arno Welzel <usenet@arnowelzel.de>
Newsgroups de.comp.lang.php
Subject Re: CMS für Dummies für responsive und verschlüsselte Websites?
Date 2020-02-19 23:56 +0100
Message-ID <hb5sorF9jirU1@mid.individual.net> (permalink)
References (4 earlier) <hb2gj4Fi1g1U1@mid.individual.net> <hb49a5Fth62U1@mid.individual.net> <hb4nmfF211mU1@mid.individual.net> <hb51cbF3vj3U1@mid.individual.net> <r2jq54$jh8$1@dont-email.me>

Show all headers | View raw

Stefan Burfink:

> Am 19.02.20 um 16:08 schrieb Arno Welzel:
[...]
>> Gleichzeitig gibt es aber etlche Sicherheitsprobleme, die bisher niemand
>> behoben hat - darunter auch diverse XSS-Probleme, die dazu führen
>> können, dass vertrauliche Daten abgegriffen werden:
>>
>> <https://github.com/GetSimpleCMS/GetSimpleCMS/issues?q=is%3Aissue+is%3Aopen+label%3ASECURITY>
>>
>> Kurz: ich würde die Nutzung niemandem empfehlen. Gar nicht.
> 
> Danke auch, interessant deine Analyse.
> 
> um "issues" scheint sich ein tablatronix zu kümmern und manche probleme 
> nicht als gelöst/geschlossen zu markieren?

Eher ist da schlicht noch nichts gemacht worden.

Beispiel - XSS-Lücke vom 20. November 2019, also immerhin schon drei
Monate bekannt:

<https://github.com/GetSimpleCMS/GetSimpleCMS/issues/1319>

Da wurde zwar schon direkt am Tag der Meldung das "SECURITY"-Label
vergeben, aber sonst scheint nicht viel passiert zu sein. Jedenfalls
sind auf <https://github.com/GetSimpleCMS/GetSimpleCMS/commits/master>
keine Änderungen am oder nach dem 20. November 2019 zu sehen. Die letzte
Aktualisierung des Codes war am 24. Mai 2019.

> Der macht auch maßgeblich das engl. Forum.

Vermutlich ist das ganze Projekt mittlerweile weitgehend ein
Ein-Mann-Show. Zumindest in Github gibt es nur "tablatronix" und "cnb",
wobei letzterer relativ wenig beitgetragen hat.

> GS hat keine so große "Gemeinde". Letztes Versionsupdate war mW. vorm 
> guten halben Jahr. Das ist doch ok?

Wenn zur Behebung von XSS-Lücken mehrere Monate lang nichts getan wird,
ist das nicht ok. Man kann sich natürlich auch darauf zurückziehen, dass
die Lücken im Backend sind, was normale Besucher ohnehin nie sehen
sollten und angesichts der Tatsache, dass PHP-Code z.B. für die
Anpassung mancher Inhalte ganz offizieller vom Benutzer einzugeben ist,
ist es vermutlich auch schon egal, ob man sich mit dem Upload einer
manipulierten Datei eine XSS-Lücke schafft.

Man muss halt bei der Benutzung dieses CMS schon etwas aufpassen, aber
die geringe Verbreitung macht wohl Websites mit GetSimpleCMS nicht
explizit zum Angriffsziel.


-- 
Arno Welzel
https://arnowelzel.de

Back to de.comp.lang.php | Previous | NextPrevious in thread | Next in thread | Find similar

Thread

CMS für Dummies für responsive und verschlüsselte Websites? Louis Noser <louis.noser.wegwerf@gmail.com> - 2020-02-17 23:54 +0100
  Re: CMS für Dummies für responsive und verschlüsselte Websites? Jan Novak <repcom@gmail.com> - 2020-02-18 14:34 +0100
    Re: CMS für Dummies für responsive und verschlüsselte Websites? Louis Noser <louis.noser.wegwerf@gmail.com> - 2020-02-18 15:14 +0100
      Re: CMS für Dummies für responsive und verschlüsselte Websites? Arno Welzel <usenet@arnowelzel.de> - 2020-02-18 15:25 +0100
  Re: CMS für Dummies für responsive und verschlüsselte Websites? Arno Welzel <usenet@arnowelzel.de> - 2020-02-18 15:08 +0100
    Re: CMS für Dummies für responsive und verschlüsselte Websites? Louis Noser <louis.noser.wegwerf@gmail.com> - 2020-02-18 15:37 +0100
      Re: CMS für Dummies für responsive und verschlüsselte Websites? Louis Noser <louis.noser.wegwerf@gmail.com> - 2020-02-18 15:38 +0100
      Re: CMS für Dummies für responsive und verschlüsselte Websites? Arno Welzel <usenet@arnowelzel.de> - 2020-02-18 16:23 +0100
        Re: CMS für Dummies für responsive und verschlüsselte Websites? Louis Noser <louis.noser.wegwerf@gmail.com> - 2020-02-18 17:10 +0100
          Re: CMS für Dummies für responsive und verschlüsselte Websites? Arno Welzel <usenet@arnowelzel.de> - 2020-02-19 09:18 +0100
            Re: CMS für Dummies für responsive und verschlüsselte Websites? Louis Noser <louis.noser.wegwerf@gmail.com> - 2020-02-19 13:23 +0100
              Re: CMS für Dummies für responsive und verschlüsselte Websites? Arno Welzel <usenet@arnowelzel.de> - 2020-02-19 16:08 +0100
                Re: CMS für Dummies für responsive und verschlüsselte Websites? Stefan Burfink <Stefan.Burfink@mailmailmailmemailmail.de> - 2020-02-19 18:09 +0100
                Re: CMS für Dummies für responsive und verschlüsselte Websites? Arno Welzel <usenet@arnowelzel.de> - 2020-02-19 23:56 +0100
        Re: CMS für Dummies für responsive und verschlüsselte Websites? Louis Noser <louis.noser.wegwerf@gmail.com> - 2020-02-24 13:17 +0100
          Re: CMS für Dummies für responsive und verschlüsselte Websites? Louis Noser <louis.noser.wegwerf@gmail.com> - 2020-02-24 13:24 +0100
          Re: CMS für Dummies für responsive und verschlüsselte Websites? Arno Welzel <usenet@arnowelzel.de> - 2020-02-24 15:29 +0100
  Re: CMS für Dummies für responsive und verschlüsselte Websites? Stefan Burfink <Stefan.Burfink@mailmailmailmemailmail.de> - 2020-02-18 19:48 +0100

csiph-web