![[HaBo]](/styles/default/logoklein.png){kind=small}
eigenes cms
- Themenstarter heinzelJacKy
- Beginndatum
hm naja um die xss-schwachstellen zu beheben muesste ich den kompletten aufbau des backends ändern, so dass die seiten nicht normal angezeigt werden sondern wenn dann gleich im "editier-modus" wo die scripts dann nicht ausgefuehrt wuerden.. der dazu benötigte aufwand steht allerdings nicht im verhältnis zum eigentlichen nuetzen denke ich, da diese version sowieso eigentlich fast "discontinued" ist und wir wohl ein komplett neues schreiben werden, welches lediglich ein paar grundfunktionen uebernimmt.
die momentan vorhandenen xss-angriffspunkte sind nur als eingeloggter benutzer ausnutzbar, deswegen denke ich dass sie nicht sooo gravierend sind, da ja nur "autorisierte" nutzer einen validen username mit passwort besitzen, weshalb auch die person relativ leicht zu identifizieren ist, welche den angriff durchgefuehrt hat (vorausgesetzt die passwörter werden sinnvoll verteilt und geheim gehalten..)
ich denke der "kundenkreis" den ich hab besitzt keine mitglieder die sich wirklich ernsthaft darum kuemmern wuerden, dem admin seine rechte abzuluxen oder damit unfug anzustellen..
mfg
edit:
hab mich jetzt mal schlau gemacht bezueglich gpl etc, der wikipedia artikel
sagt also (wenn ich das richtig versteh) dass ich die software sehr wohl in mein (kommerzielles) programm einbinden darf, wobei ich meinen code nicht unter die (l)gpl stellen muss. heisst also, ich MUSS den source nicht freigeben und halse mir trotzdem keinen rechtsstreit auf den hals. hab ich das richtig verstanden?
die momentan vorhandenen xss-angriffspunkte sind nur als eingeloggter benutzer ausnutzbar, deswegen denke ich dass sie nicht sooo gravierend sind, da ja nur "autorisierte" nutzer einen validen username mit passwort besitzen, weshalb auch die person relativ leicht zu identifizieren ist, welche den angriff durchgefuehrt hat (vorausgesetzt die passwörter werden sinnvoll verteilt und geheim gehalten..)
ich denke der "kundenkreis" den ich hab besitzt keine mitglieder die sich wirklich ernsthaft darum kuemmern wuerden, dem admin seine rechte abzuluxen oder damit unfug anzustellen..
mfg
edit:
hab mich jetzt mal schlau gemacht bezueglich gpl etc, der wikipedia artikel
sagt also (wenn ich das richtig versteh) dass ich die software sehr wohl in mein (kommerzielles) programm einbinden darf, wobei ich meinen code nicht unter die (l)gpl stellen muss. heisst also, ich MUSS den source nicht freigeben und halse mir trotzdem keinen rechtsstreit auf den hals. hab ich das richtig verstanden?
bitmuncher
Senior-Nerd
Irgendwie verstehe ich dich nicht ganz. Erst bittest du hier darum, dass dir die Leute helfen das CMS sicher zu machen und nach Schwachstellen zu suchen und jetzt wo du feststellst, dass es ein enormer Aufwand wäre dieses CMS sicher zu machen, ist die Sicherheit plötzlich nicht mehr wichtig? Wenn ich als dein Kunde zufällig diesen Thread hier lesen würde, würde ich den Auftrag sofort jemand anderem geben. Weisst du, wem deine Kunden Zugriff zum CMS gewähren werden? (Stichwort: Outsourcing) Vielleicht weiss das momentan noch nichtmal dein Kunde. Daher solltest du grossen Wert auf die Sicherheit legen, sonst ist dein Kunde die längste Zeit dein Kunde gewesen, wenn jemand Unfug mit dem Ding treibt.
Edit: Ja, das mit der GPL hast du richtig verstanden. Siehe z.B. Projekte wie StarOffice und andere kommerzielle Produkte für Linux, die meist min. die GNU-C-Bibliothek, oft aber auch GTK, gnomelibs usw. nutzen.
Edit: Ja, das mit der GPL hast du richtig verstanden. Siehe z.B. Projekte wie StarOffice und andere kommerzielle Produkte für Linux, die meist min. die GNU-C-Bibliothek, oft aber auch GTK, gnomelibs usw. nutzen.
ich verstehe deinen einwand, aber da ich das management momentan fuer ein evangelisches dekanat schreibe, welches momentan aus nur einer person besteht die die seite leitet, ist es vorerst nicht von höchster priorität, die sicherheitsluecken zu schließen die nicht zu gravierend sind, sondern eher die fehler zu bereinigen, die bei "normaler" benutzung (DAUs eingeschlossen 
) auftreten um den leuten zumindest das gefuehl zu geben, die seite läuft einwandfrei.
ich sage ja nicht, dass ich die fehler nicht ausbessern werde, nur dass es fuer mich sinnvoller ist, mich auf die neue version zu konzentrieren anstatt die alte, verbuggte, langsame version fast zur hälfte neu zu schreiben um diese luecken zu schließen.
die, welche die momentane version besitzen, werden dann natuerlich ein kostenloses update bekommen, welche die sicherheitsluecken dann schließen wird(nur falls doch ein kunde hier mitliest )
) auftreten um den leuten zumindest das gefuehl zu geben, die seite läuft einwandfrei.ich sage ja nicht, dass ich die fehler nicht ausbessern werde, nur dass es fuer mich sinnvoller ist, mich auf die neue version zu konzentrieren anstatt die alte, verbuggte, langsame version fast zur hälfte neu zu schreiben um diese luecken zu schließen.
die, welche die momentane version besitzen, werden dann natuerlich ein kostenloses update bekommen, welche die sicherheitsluecken dann schließen wird(nur falls doch ein kunde hier mitliest
)