Bezpečnost - jak vyděsit uživatele

skusim sa zamysliet: stranky ako milw0rm a podobne poskytuju dostatok navodov, exploitov, ktore su zverejnovane vacsinou v den objavenia chyby. Mysliet si, ze ked producent nezverejni popis chyby, ze budu ludia v bezpeci, je naivne. Mozno by bolo vhodne vyriesit architekturu tak, aby security fixy boli kontrolovane a instalovane povedzme kazdu hodinu (tak ako u antivirov na serveroch). Ze to bude predpokladat dodatocne naklady na infrastrukturu je jasne a je jasne aj to, ze sa budu musiet odrazit v cene (napr. moznost aktualizovat bez subscription bude len manualna, v ramci subscription bude kazdych 60min). Pokial aktualizacie nechate na ludi, nikdy to nedopadne dobre, aj ked mate akokolvek dobre definovane procesy.

Joomla je hnusny bastl, uroven zdrojovych kodu ma horsi nez wordpress, ktery mimochodem take zatracuji. Nejvetsi chyby jak v Joomla tak ve WordPress jsou v designu. Je videt, ze se banda amateru bezhlave vrhla na kodovani html pomoci echo v php a bez jakekoli struktury z toho nakonec vznikl odporny slepenec, plny chaotickeho kodu, ktery psali zejmena tupi koderi, aniz by u toho premysleli. Neni nic horsiho, nez obrovsky projekt postradajici strukturu, pravidla, jednotne api, oddelenou business logiku od jadra, databazi od php, atd. Doufam ze za vasi debilitu budete vsichni hacknuti detmi z Arabska

Nj, panika je na internetu normální jev. Lidi mají potřebu žít v představě, že je někdo "hackne" :) Mají tak pocit, že jsou důležití, ikdyž na ně každý kašle ;)

K článku na idnes.cz - nemůžete od takových webů čekat kvalitní zprávy. I Blesk má serióznější články než idnes.cz nebo novinky.cz! Jim stačí na netu něco najít, prohnat to translatorem, upravit aby se to dalo alespoň trochu přečíst a pak šup s tím ven :)

[2] Nejsi čtenář novinky.cz nebo idnes.cz? Vyjadřování by odpovídalo.

[2] - Aký CMS iný než Joomla doporučuješ? Tak by mal aspoň podobné možnosti - tj. moduly, komponenty a podobne.

Rozumnější mi přijde dělat mezi uživateli osvětu typu: "Rozhodli jste se používat Joomlu, protože k tomu máte své důvody. Ale POZOR, používáte potencionálně nebezpečný nástroj, proto dodržujte vyjmenovaná bezpečnostní opatření a pokud je uvolněn bezpečnostní update, neprodleně jej aplikujte."

A ne bagatelizovat článek, který informuje o výsledku bezpečnostního vyhodnocení IBM X-force.

Co se týká hacknutí oficiálního webu Joomla, situace se opakuje. Před rokem byla rovněž hacknuta celá rodina oficiálních Joomla webů, bylo to rovněž vysvětleno neznalostí obsluhy, viz http://forum.joomla.org/viewtopic.php?t=203290 Takže poučení Joomla týmu se nedostavilo, tady je co kritizovat.

Jinak se ukazuje jako docela slušný můj odhad, že Joomla 1.5 bude použitelná nejdříve koncem tohoto roku. Joomla tým ve snaze urychlit vývoj, vydal betu, kterou přejmenoval za release, což vývojáři ani netajili. Takže zvýšený výskyt chyb nepřekvapuje. Druhým faktorem, který brzdí nasazení, je absence doplňků pro Joomla 1.5.

[2] a [5], to by mě taky zajímalo!

[2] Díky za názor. Bohužel obsahuje několik nepravdivých řešení. Joomla byla už od počátku vyvíjena jako komerční produkt a má komerční základ. Banda amatérů to bohužel nikdy nebyla.

Jinak se moc omlouvám, že vás obtěžuji svými výlevy...

[6] Problém je v tom, že my to takto děláme a otevřeně říkáme, jenže lidé to nechtějí slyšet. Každý případ hacknutí je jiný a musí se k němu přistupovat individuálně.

[2] [5] [7]
Ahoj,
Doporučit se dá textpattern http://textpattern.com/
nebo těžší kalibr Xaraya http://www.xaraya.com/

Ale těch možností je xxx. za vše mluví http://opensourcecms.com/

pa

[8] Tedy aniž bych se chtěl jakkoli vyjadřovat k Joomle, argumentovat tím, že komerčních soft nemůže vyvíjet banda amatérů mě rozesmál. Vzhledem k tomu, co dnes má za znalosti 99% komerčních programátorů, tak to může být po implmenetační stránce amatéřina klidně nejhrubšího zrna. Zvláště, pokud se tlačilo na termíny a mladý dynamický kolektiv považuje jako obvykle návrh architektury sw za zbytečnou neproduktivní činnost, která je zbytečná.

P.S.: Autor příspěvku se téměř 20 let pohybuje v komerčních vodách jako programátor a databázista - většinou aby zachránil co se dá po špatných projektech dnešních vývojářů. Zná tedy prostředí.

Na Extrahardware.cz je teď spadlá jooomla. :-) Hezký příklad

Za prvé, extrahardware.cz beží na Drupalu, žádná Joomla.
Tím je i zodpovězena otázka, který RS místo Joomly - Drupal. Je pravda, že je to systém složitější na pochopení. Na druhou stranu kdo ho pochopí, nemusí se zabývat ničím jiným, co se redakčních systémů týče. Problém může nastat i se spoustou webhostingů, které mají zakázány spousty funkcí, které Drupal vyžaduje.
Největší předností je ale bezpečnost. Neslyšel jsem o případu, kdy byl napaden server, na kterém je provozován Drupal.
Takže závěr - od Joomly ruce pryč a alespoň si vyzkoušet Drupal.

[12] Váš příspěvek je přesně ten typ informace, kterou uživatel nasává jako houba a slyší na něj. Když to zkrátím - použij Drupal, je bezpečný. Joomla fůůj. Znám lidí, kteří říkají opak. Troufám, si tvrdit, že žádný CMS není bezpečný sám o sobě a jen tak, že jej nainstalujete a případně doinstalováváte aktualizace. To je falešná víra.

Vše se dá relativně jednoduše zabezpečit, ale musí se vědět jak a nějakou péči tomu musíte věnovat, bez toho to nejde. Také je jasné, že pokud se nějaký CMS používá tak masově jako velká trojka Joomla, Drupal, Wordpress, bude na ně provedeno asi více pokusů o prolomení, než na jiné. A v tom to, Joomla právě prolomila psychologickou bariéru a stala se světoznámou a zajímavou pro hackery. Ale pokud prostudujete jednotlivé případy napadení tak zjistíte, že za to Joomla obvykle skutečně nemůže. Přes jádro se do ní hacker nedostal...
Ale to stejné platí i o Drupalu.

Prostě když víte jak na to, zabezpečíte z velké části všechno. A není to zase tak velké "čarování"

[13] Joomlu neznám (nikdy jsem nepoužíval), ale už je to co slyším o hackutých webech týkajících se právě joomly mi stačí.

Netvrdím, že Drupal je nenapadnutelný, ale má dobrý systém updatů a aktualizací. Všechny moduly i drupal samotný si umí ověřit, jestli není nová verse - automaticky několikrát denně. Zrovna dneska mi přišel z hostignu email, že je ke stažení nová verse cck. Dokonce kontroluje externí nástroje, jednou jsem byl upozorněn na "nevhodnou" versi gd.

[13] Pravda je, že jádro zůstává nedotčeno. Zato o modulech určených pro Joomlu se to říci nedá. Jeden příklad - nedávno jsme měli na našem serveru, kde byla provozovaná Joomla, návštěvu z Turecka (Ottoman Empire). Vše bylo započato zjištěním loginu administrátora přes XSS.
Podle mně je dalším problémem udělování nepřiměřeného množství práv pro soubory a adresáře s instalací. Například modul Docman vyžaduje práva zápisu po nahrání souboru přes administraci do konfiguračních souborů. Celkem jsem napočítal cca 20 adresářů, kterým je potřeba změnit práva. Kdežto u Drupalu je potřeba nastavit práva pouze jednomu adresáři.
Nechci nijak znehodnocovat RS Joomla a propagovat Drupal. Jen mám s Drupalem lepší zkušenosti než s Joomlou.

[16] Jenže mluvíte o Docmanu, což je doplněk třetí strany. Existují další, u kterých to tak není, třeba Remository. Opět narážíme na to, že Docman není Joomla...

Kazdy profik vam povie ze Drupal je jasna jendotka a porovnavat s nim joomlu je ako porovnavat windows s linuxom. Windows je eye-candy, ale linux "just works".

Zastance joomly asi popudi prohlaseni o jeji slabe bezpecnosti, ale faktem je, ze problemy s ni jsou velike. Pokud je potreba znat prilis mnoho detailu a sam si vse overovat (aplikace userovi v tom moc nepomaha), pak se zvysuje riziko, ze neco opomene zkontrolovat a hned ho navstivi turek. Modul pro joomlu je joomla samotna - v ocich usera.
Je to stejne jako s windowsama - pry jsou dokonale bezpecne, nemaji zadny problem a user se nema ceho bat - pokud nastane problem, pak je vina na strane vadne aplikace, nebo viru samotneho. Sice byl poskozen ci znefunkcnen system, ale jeho vina to neni, tak "riziko nehrozi".
Stejne je to s joomlou - sice se vratka do systemu oteviraji i slabsim pruvanem, ale "je to zpusobeno spatnym uzivanim, modulem tretich stran atd... takze riziko nehrozi a je desne bezpecna".
Nechci hazet spinu zbytecne, netesi me to, ale argumenty z tohoto zapisku povazuju za zavadejici.
Naproti tomu si sice muzeme drupal strcit nekam, ale faktem je, ze s bezpecnosti z daleka takove potize nema i presto, ze moduly take patlaji ruzne treti strany a i presto, ze jeho uzivatele nejsou zas o tolik vice haklivi na bezpecnostni proverky...
A kdyz uz jsme u toho, ze vyvojari drupalu sice nemaji kinderstube, ale zase se na oplatku nepisou cesty natvrdo do databaze (takze presuny byvaji snazsi - tedy standardne proveditelne) a vubec abstrakce je na daleko vyssi urovni. Ma to samozrejme nevyhodu v tom, ze kdyz neco nejezdi (nejde rozbehat), tak se clovek musi pidit ve zdrojaku aby objevil pricinu (obvzlast patrne kdyz clovek pouziva pg namisto mysql), ale zdrojaky joomly take nejsou nikterak lepe citelne (ty drupalovske jsou dle meho soudu uplne v pohode).

Nakonec Joomla! ma psi hlavu a kdo vi zda pravem ci ne (ja bych prisahal ze pravem, ale muj nazor neni dulezity). Nakonec kazdy si ma vybrat to co mu vic chutna, ale argumenty z tohoto zapisku jsou stejne zavadejici jako argumenty windows bezpecnostnich expertu. Je zde vlastne receno, ze udrzet bezpecnost joomly vyzaduje velkou peci, ale zamlcuje se, ze vetsi nez u jinych podobnych systemu.

http://www.zive.cz/Bleskovky/Nejvice-zranitelny-software-ma-Apple-Microsoft-je-treti/sc-4-a-143202/default.aspx

18. 08. 2008, 18:06 SonnY
Evidentne jste článek nečetl. Přesně o té studii se v článku píše a také o tom, jak tupě ji novináři interpretují. Dnes se k tomu "vyjádřilo" Živě, bohužel stejně tupě.

Nelze zpochybňovat vyjádření nezávislých zdrojů, které se týkají bezpečnosti systému Joomla. Tento systém je na tom podobně, ne-li stejně jako OS Windows, jak píše SonnY.
I když moduly do Joomly podle vás pocházejí od třetí strany, je to každopádně její vizitka. Proč tomu tak není u jiných redakčních systémů, které jsou také vyvíjeny třetí stranou? Nabízí se opět srovnání systémů rodin Windows a Linux.

18. 08. 2008, 21:02 Michal Ciasnocha

Nezpochybňuji nezávislou studii, zpochybňuji vyznění článku na Živě, který bohužel říká něco úplně jiného, než je ve zmiňované studii.

V oficiálním repozitáři je obsaženo více než 3500 různých doplňků. Bohužel Joomla není Linux a tak tyto doplňky neprocházejí žádným testováním nebo ověřováním kvality, zůstává to na uživatelích. Existuje ovšem oficiální seznam "děravých" rozšíření. Opravdu každý může udělat doplněk a nainstalovat jej do Joomly s jakýmykoliv "prasárnami" v kódu. A pokud si jej pak nainstalujete vy na své stránky, může to být problém.

Momentálně se však dostáváme do stavu, kdy je snadné napadnout neaktualizovanou Joomlu a protože se opravdu masivně používá, je o napadeních slyšet více a více. Postup, jak Joomlu napadnout je k dispozici a je docela dobře popsán. Každý trochu šikovný tak může hackovat. Pokud na tu hrozbu nezareagujete, hacker bude úspěšný.

Lidé také podléhají falešné iluzi, že stačí jen nainstalovat, občas aktualizovat a pak už je vše OK. A není to pravda. Stále si stojím za tím, že za většinou útoků není Joomla, je to souhra mnoha chyb a nedorozumění a že jsou na tom všcehny podobné projekty stejně. Proč se např. ve výše jmenovaných článcích nehovoří o tom, že redakční systémy byly do studie nově zařazeny (Joomla, Drupal a Wordpress) a že se všechny vešly do první desítky?

Do readkcnich systemu moc nevidim, ale docela by mne zajimalo, proc jsou moduly takovy bezpecnostni problem - respektive jak to, ze muzou zpusobit tolik problemu - muze to nekdo shrnout?

"Bohužel Joomla není Linux a tak tyto doplňky neprocházejí žádným testováním nebo ověřováním kvality, zůstává to na uživatelích."

V tom priapde su na vine pouzivatelia Joomli, ze je to taky deravy system, ked pouzivatelia Drupalu nemaju problem udrziavat moduly bezpecne.

Cize rovnaky princip niekde funguje a niekde nie. Z toho jasne vyplyva ze pouzivatelia Joomli su na dost nizkej programatorskej urovni a skor sa radia do kategorie BFU, kdezto pri Drupale je to skor kategoria geek/programa­tor/power user. Z tohto zaveru teda vyplyva, ze ak programuje BFU, tak to tak aj potom vyzera. Lenze tu to ma dopad na cely system(Joomla), namiesto jednej jeho casti.

Okrem Drupalu uz nic ine nesledujem, takze nevie mako je na tom Joomla, ale uz len to, ze Drupal ma programatorske standardy svedci o niecom. Pokial vas modul tieto standardy nesplna, mozete zabudnut na uverejnenie v zozname modulov na ofic. stranke.

19. 08. 2008, 07:48 Michal Kára

Je to docela jednoduché. Protože doplněk třetí strany může obsahovat libovolný kód a může jej napsat kdokoliv, děje se tak a programátorská úroveň je různá. Pokud ovšem takový modul napíše někdo, kdo nemá o bezpečnostních postupech ani páru, bude jeho kód napadnutelný třeba pomocí metody SQL injection nebo XSS(http://www.security-portal.cz/clanky/xss-cross-site-scripting-hacking.html) či pomocí jiné metody, kterou se dá PHP kód napadat. Nebo může jít i o chybu přímo v kódu, která se po patřičném útoku dá zneužít. Něco najdete třeba na http://www.security-portal.cz/clanky/php---bezpecne-programovani.html a pokud se autor těchto tipů nedrží, může to být problém.

Pokud mluvíme o jádru Joomly říkáme, že kód s napsanou funkčností se pokouší být v maximální možné míře nenapadnutelný a tudíž proti technikám popsaným třeba v tom článku výše být imunní.

Nevýhodou ovšem je, že s Joomlou se pak může spouštět i "neprověřený" kód, který už ty zásady nemusí ctít (a v mnoha případech nectí), je tudíž zneužitelný. proto je na uživatelích nést to riziko, že pokud doinstalovávám cokoliv, co není součástí Joomly, může to někdo napadnout. Pokud např. je jedním z nejpoužívanějších doplňků Community Builder, který chyb obsahuje docela dost a autor chyby neopravuje (nebo velmi zvolna), i když se o nich ví, těžko po útoku můžete nadávat na Joomlu. Nejde prostě bezhlavě instalovat cokoliv. Ale ve výsledku všichni říkají, že je Joomla děravá. Musíte říct konkrétně - mám Joomlu s doplňkěm Community Builder a přes ten se mi na stránky dostali. Jenže to nikdo neřekne. Spíše uslyšíte - mám Joomlu a hackli mi ji.
Problém je v tom, že existují nějaká pravidla, jak se zabezpečit, ale spousta lidí si s tím neláme hlavu. Obvykle se o to začnou zajímat až tehdy, pokud je někdo hackne. Pak teprve zjistí, kolik kroků ještě neprovedli a co všechno zanedbali.
A teď ruku na srdce - je to chyba Joomly nebo uživatele? Bohužel nikdy jsme na portále neříkali, že je Joomla jednoduchá a doporučitelná pro naprosté začátečníky. Jenže ona se tak tváří, ale jinak je to docela těžké se tomu pověnovat. Chce tomu opravdu věnovat nějaký čas. Rozšířený mýtus říká, že stačí Joomlu jen sem tam aktualizovat. Ale také musíte aktualizovat doplňky a neustále monitorovat, co se na stránkách děje. Joomla prostě není bezúdržbová (a troufám si tvrdit, že žádný redakční systém). To jen uživatelé si myslí, že to tak je.

Takze do doplnky typicky prebiraji data od ctenaru webu, ne jen od administratoru, pochopil jsem to spravne?

Je to chyba Joomly minimalne ze dvou duvodu:

1) Nemela si vybrat PHP kde je potreba pomerne prisna disciplina pri kodovani (jakkoli mam ten jazyk rad)

2) Mela by poskytnout rozhrani ktere by moduly pouzivaly a ktere by podobne chyby omezovalo.

A ted ruku na srdce - kdyz nekdo v nejake debate napise "Joomla neumi tohle", odpovite mu "Ano to neumi, museli byste si nainstalovat modul X a ten neni tak provereny jako Joomla.", nebo "To umi, staci jenom nainstalovat modul X"?

19. 08. 2008, 09:50 Michal Kára
Problém je v tom, že na jednu funkci existuje více doplňků. Existují i prověření programátoři. Ale chce to studovat, co, kde jak.

Troufám si tvrdit, že po nedávných excesech se někteří lidé na celý problém začnou dívat jinak. Smysl všech těch zpráv je pro mne jediný - vše je relativní a všichni jsme napadnutelní, ale v zásadě všichni stejně.

(Cenzura)
Svatas komentuje a cenzuruje: Původní komentář obsahoval odkaz na škodlivý kód, který momentálně nejvíce škodí všem, kteří Joomlu používají. Tento škodlivý kód právě používá ke své činnosti objevenou a popsanou chybu. V nové verzi je to OK.
(/cenzura)

promiňte ale nemůžu si pomoct
banda amatérů je termín který bych asi použil na každý web který ma výstupní html kód ve formě bordelu ne-li dokonce max 10 nekonecných řádek.
bohužel to ukazuje spíše na nezájem a nedostatek času adminů viz seznam.cz page source

Reakce na [31].
Priznam se, ze duvod te cenzury prilis nechapu. Smazanim linku jsi urcite neudelal Joomlu bezpecnejsi. Onen stripek navic zrovna poukazoval na fakt, ze utok nebyl veden pres nejaky spatne zabezpeceny doplnek, ale vyuzival diry v samotnem "jadre" joomly.

Myslím, že na verzi 1.5.7 značně zapracovali a měla by být o dost bezpečnější, alespoň co jsem četl na jejich stránkách, no uvidíme do jaké míry se jim to povedlo

You introduction is detail, thank you so a lot of tips, but why do not you provide some reference photographs?

"K" is for "knowledge". Knowledge is strength. Air Jordan shoes.