Sicherheit und Module in Drupal

Twitter

@lotro cunning mind

vor 36 Wochen 5 Tage
ah ja stimmt

vor 1 Jahr 13 Wochen
Sicherheitslücke zur realID http://wownoob.blog.de/2010/07/08/sicherheitsluecke-real-id-8936420/ #wow

vor 1 Jahr 32 Wochen
Liedtipp http://www.schockwellenreiter.de/blog/2010/05/11/der-typ-der-bei-der-gema-die-titel-eingibt-ist-ein-ganz-bloder-penner/

vor 1 Jahr 40 Wochen
rt @alexlehmannfilm: #Cleanternet ist online! http://www.cleanternet.org #censilia #zensursula !

vor 1 Jahr 43 Wochen

Neueste Blogeinträge

Weiter

Archiv

Verfasst von Tobi O am 15. April 2009 - 21:27

Ich frag' mich ...

welche Gefahren entstehen, wenn bekannt ist, welche Module mit diesem Drupalblog installiert sind?

Folgender Gedankengang diesbezüglich:

Jeder Besucher der Seite, welcher den letzten Post gelesen hat, weiß welche Module installiert sind - Wissensvorteil für einen potentiellen Angreifer
aufgrund der Module lassen sich möglicherweise Rückschlüsse auf die Drupal Hauptversion ziehen - Wissensvorteil für einen potentiellen Angreifer
durch genügend Wissen über potentielle bzw. aktuelle Schwachstellen in den Modulen bzw. der eingesetzten Drupal Hauptversion werden Angriffe möglich, ggf. sogar erfolgreich

Was halte ich dagegen:

aktuelle Updates
eigener Code
Geheimhaltung weiterer Module

Ich finde, dass diese Gegenmaßnahmen passiv sind, zumindest das Installieren der Updates. Man wartet und wird informiert, dass es Updates gibt und installiert diese dann. Die Sicherheit der Webseite ist also abhängig vom Aufwand der jeweiligen Partei für das Erreichen des Erfolgs (Ausnutzung Schwachstelle vs. Verhinderung der Ausnutzung) und zusätzlich davon, welche Partei die Schnellere ist.

Dieser Post ist ein gutes Beispiel für die zugrundeliegende Idee dieses Blogs. In meinen Augen interessante Gedanken als Fragen formulieren, um dadurch andere Sichten auf die Gedanken in Form von Kommentaren zu erlangen.

Tags:

Tobi O's blog
Anmelden um Kommentare zu schreiben