Archief - Security: waarom telkens nieuwe updates voor CMS?

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
F

Fransz

Legacy Member
Iedereen kent de default security hack wel (via zoekfunctie met sql injection), maar waarom komen er maandelijks nieuwe updates uit voor security? Is er iemand die dit voor een leek als ik deftig kan uitleggen? Waarom hebben Joomla en Drupal en Wordpress telkens een update nodig? Zijn er dan nieuwe technieken om een database te hacken? Is PHP nog steeds onveilig na al die jaren? Iemand vroeg mij dat... en ik kon er eerlijk gezegd niet op antwoorden.
b

bealzebub

Legacy Member
Simpelweg gezegd: "hoge bomen vangen veel wind".

Grote CMS/blog systemen worden veel gebruikt, dus zijn ze een "prime target" voor hackers: één keer moeite in een exploit zoeken steken en je kan direct honderden sites aanvallen (of de exploit verkopen en er goed aan verdienen). Dat wil niet zeggen dat ze onveilig zijn, integendeel zelfs, ze zijn waarschijnlijk een stuk veiliger dan custom built CMS. Maar een grote codebase zal altijd bugs blijven bevatten. Uiteindelijk wordt die code nog altijd door een heel aantal mensen geschreven en niettegenstaande uitgebreide testsuites zal er altijd wel een hacker zijn die ergens in een klein donker hoekje een foutje zal vinden om te exploiten.

Windows moet ook constant security patches krijgen, Java is ook verre van 100% veilig (kijk naar het nieuws van de afgelopen dagen), net zoals zowat elke andere taal, iOS wordt nog altijd gejailbreakt (op heel vernuftige wijze), enz. Een mens kan nooit aan alles denken en andere mensen kunnen heel vernuftig te werk gaan. Gelukkig hebben al die grote CMS'en een mooie community die snel de bugs fixen. Dan is het juist aan jou om voldoende regelmatig te updaten.
d

dJeez

Legacy Member
Fransz zei:
Waarom hebben Joomla en Drupal en Wordpress telkens een update nodig?
Klik om te vergroten...
Omdat er nieuwe features in verwerkt worden, en soms passeren er zaken onder de radar of zit er ergens een addertje onder het gras dat niet direct opvalt bij een oppervlakkige audit. Die pakketten evolueren constant, en dus is het logisch dat er ook nieuwe attack vectors bijkomen (en dan weer wegvallen).

Het heeft an sich weinig tot niks met PHP als taal te maken. Kijk maar naar de grote RoR leak onlangs. Daarnaast bouwen de meeste pakketten tegenwoordig ook voort op 3rd party open source frameworks, zoals Symfony2. Ook die hebben wel eens security issues, en vereisen soms ook wijzigingen aan de eigen codebase omdat niet alles backwards compatible kan opgelost worden.

Het grote voordeel van open source is echter dat je zelf een code audit kan (laten) uitvoeren en de code ook kan bijschaven waar nodig (en liefst ook delen, wat echter niet steeds - hangt af van de licentievoorwaarden). Bij proprietary systemen heb je dat voordeel niet en ben je dus totaal afhankelijk van de leverancier van het pakket. Vraag is wat je het liefste hebt :p.
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan