TYPO3-Admins sind faul?
Im TYPO3 Security Blog erwähnt Ekkehard gerade, dass zu wenige Betreiber von TYPO3 Installationen aktuelle Updates von Extensions installieren. Das ist allerdings äußerst bedenklich, aber auch zu erwarten. Denn: Wieviele Admins von z.B. phpBB oder Joomla oder… sind sich bewußt, was sie da tun? Ich behaupte mal, die meisten wissen nicht, dass Software nicht fehlerfrei ist. Eine Extension ist schnell installiert, dazu muss man sich nicht mit der Materie beschäftigen. Und wenn man sie zum Laufen bekommen hat, ist das Thema auch schon abgehakt.
Wie Ekkehard vorschlägt, gibt es eigentlich nur eine echte Lösung für dieses Problem:
Es muss einen Mechanismus geben, der zumindest jeden Benutzer bei der Anmeldung am Backend darauf hinweist, dass es für eine Extension ein Update gibt. Noch besser wäre ein Mechanismus a la “Windows Update”, der unter der Haube Extensions, die ein Sicherheitsloch haben, automatisch installiert.
Dazu müste allerdings gewähleistet sein, dass nur das Sicherheitslcoch in der Extension gestopft ist und nicht neue Funktionen hinzukommen, die eventuell noch konfiguriert werden müssen.
Popularity: 1%
Werbung
Loading ...
2007-07-19 - 12.04 pm
Diese Funktion wünscht man sich doch für manches CMS…
2007-07-19 - 12.34 pm
Oder Blog-Software (Was zugegebenermaßen auch unter CMS fällt- irgendwie.) Für WordPress, zumindest den Core, gibt es ein Plugin welches die Funktion erfüllt. Sollte also auch theoretisch auf die Erweiterungen anwendbar sein. Allerdings müsste man den Entwicklern einen Standard aufzwingen und diese ihre Veröffentlichungen pflegen.
2007-07-19 - 12.37 pm
Ist dies vielleicht ein Problem von Open Source? Das doch jeder Erweiterungen entwickeln kann wie er mag? Kenne mich mit der Software-Entwicklung nicht gut aus, aber Firmen die alles intern lösen, sind hier sicherlich besser organisiert.
Welches CMS ist eigentlich klein und fix? Typo3 soll ja sehr aufgeblasen sein und für kleine Seiten ungeeignet.
2007-07-19 - 12.38 pm
… aber das Plugin für WordPress sagt nur, dass es eine neue Version gibt, richtig?
Für mich wäre die Ideallösung ja das automatisch Installieren wichtiger Updates a la “Windows Upade” – auch wenn das sicherlich schwierig zu realisieren ist…
2007-07-19 - 12.51 pm
@markus:
Fix ist TYPO3 auch! Ob es für kleine Seiten geeignet ist, weiß ich nicht. Ich bin der Meinung, dass es als CMS immer geeinet ist!
Wenn Du Dich ein wenig mit TYPO3 beschäftigen willst:
http://www.fi-ausbilden.de/blog/typo3-tutorials/
2007-07-19 - 12.51 pm
Was ist denn dein “kleinstes” Projekt was du damit realisiert hast? Also mit den wenigsten Seiten?
2007-07-19 - 12.53 pm
gefühlte 10 Seiten maximal!
Wie gesagt, wenn man TYPO3 einmal verstanden hat, dann geht es schnell, damit eine Seite aufzusetzen! Und ich habe immer den Vorteil eines vollen CMS mit über 2600 Erweiterungen…
2007-07-19 - 1.02 pm
Jetzt ist aber auch TYPO 3 nicht gerade anspruchslos was den Webserver/Webspace angeht, oder!? Das richtige CMS wird dir wohl keiner empfehlen können, dafür gibt es zuviel für unterschiedlichste Ansprüche. Joomla, Typo3, Drupal auch WordPress alles möglich. Wobei Typo3 für 10 Seiten wohl eher die Geschichte mit Kanonen auf Spatzen und so weiter ist. Schau mal bei http://www.opensourcecms.com/ da gibt eine schöne Übersicht.
2007-07-19 - 1.06 pm
Zu der Updatefunktion: Ja es wird nur die Version abgefragt, um den Rest muss sich der Admin kümmern. Eine automatische Updatefunktion halte ich persönlich für zu unsicher, gerade auch weil die Pluginentwicklung dezentralisiert erfolgt und dementsprechend auch verbreitet wird. Für den Core vlt. diskutabel aber für Plugins fast schon Selbstmord. :)
2007-07-19 - 1.53 pm
brauchen sich keine großen Gedanken machen -1. ist der Quellcode nicht offen, man kann also nicht einfach mal nach Lücken suchen, 2. ist die Anzahl der Seiten, die die Extension dann einsetzen so gering, dass zum einen die Server ganz schnell Alarm schlagen können, wenn da einer “ausprobiert” ob er lücken findet – zum anderen lohnt es sich nur für jemanden, der explizit dieser Firma schaden will.
Für WordPress gibts sogar eine Extension die nach Updates für Extensions guckt. Für den Core gibts sogar so ne Art 1-Click update.
Auf ein automatisches Update hab ich keine Böcke, will schon selber wissen, wann was passiert. Dazu kommt, dass beim Update immer steht: Backup machen! – Nu is dat a bissi kompliziert, wenn ich garnet weiß, dass ein Update passiert – und was wenn in der Update Funktion n Bug ist und jemand damit alles installieren kann, was er will? Dann brennts im Kinderzimmer!
Ne, ne, automatische Updates sind mir zu gefährlich, einen automatischen Check mit Hinweis würd ich klasse finden – bei WP muss ich (für die Extensions) halt immer im Backend eine Seite aufrufen, aber das mach ich regelmäßig – für TYPO3 bräuchte man sowas auch noch, dann wär das UpToDate halten einfacher (dafür könnte man den “Ich halte Ihre Installation immer Aktuell und beseitige Sicherheitslöcher gleich nach dem Bekanntwerden selbiger”-Service nicht mehr so gut zu verkaufen ;-)
Gruß
Alex
2007-07-19 - 2.01 pm
… für die TYPO3 – Extensions gibt es immerhin schon die Extension “ter_update_check”, die nachsieht, ob es eine neue Extension – Version gibt…
2007-07-19 - 2.05 pm
gut zu wissen, die ist mir wohl bisher durch die Lappen gegangen ;-) Danke!
2007-07-19 - 2.19 pm
Habe angefangen, eine kleine Liste der wichtigsten Extensions zu erstellen:
http://www.fi-ausbilden.de/blo.....xtensions/