Chitika läuft unter Postnuke
Eben habe ich bei Digitalpoint gelesen, dass die Verwaltung von Chitika unter PostNuke läuft. PostNuke ist ein Open Source Content Management System und berüchtigt für seine vielen Bugs und Sicherheitslücken. Ein Blick in den Quelltext der Chitika Verwaltung fördert dann tatsächlich folgendes zutage:
<meta name=”generator” content=”PostNuke – http://www.postnuke.com”>
Ich muss dem Verfasser des Postings bei DigitalPoint zustimmen, dass dies nicht unbedenklich ist. In einem solchen Affiliate System sind ja durchaus vertrauliche Daten abgelegt. Hätte man da nicht eine zuverlässigere Plattform wählen können?
Januar 5th, 2006 at 9:36
Die Bugs bei PN wurden immer sehr schnell repariert, resp. es wurden patches bereitgestellt. Pauschal von einem unsicheren System zu sprechen ist nicht ganz korrekt.
Januar 5th, 2006 at 9:54
Ich denke hier wird PostNuke mit phpNuke verwechselt. PostNuken besitzt ein sehr ausgereiftes Berechtigungsystem sowie eine API die sehr wirksame Filter für Variablen bereitstellt. Die Behauptung PostNuke sei unsicher ist blanker Unsinn. Wie in jedem System gibt es hier und da auch in PostNuke mal eine Schwachstelle aber diese werden immer zügig behoben.
Ich denke man hätte sich hier besser informieren sollen bevor man solche brisanten Dinge verööfenlicht.
Gruß
Lindbergh
Januar 5th, 2006 at 10:19
[i]und berüchtigt für seine vielen Bugs und Sicherheitslücken
[...]
Hätte man da nicht eine zuverlässigere Plattform wählen können?[/i]
ist das jetzt einfach einmal so ins blaue gesprochen oder hast du dafür einen beleg?
wenn man sich beispielsweise einmal bei secunia.com umschaut (http://secunia.com/graph/?t…) wird man feststellen, dass es zwar von 2003-2006 insgesamt 14 advisories gab aber selbstverständlich keine sicherheitslücken im aktuellen core.
dass postnuke sehr offensiv mit sicherheitsproblemen umgeht und nicht nur beim thema xmlrpc einer der ersten war, die vor dem einsatz generell abgeraten haben, sollte nicht im umkehrschluss dazu führen, das system als unsicher abzustempeln.
postnuke hat ein in meinen augen ein recht professionelles sicherheitsmanagement – nicht umsonst setzt zwischenzeitlich sogar die t-com auf ein pn-derivat im b2b-bereich – und pflegt darüberhinaus auch gute kontakte zu verschiedenen security-beratern.
grüsse aus dem wilden süden
andreas [larsneo]
pnDevelopment / http://www.pn-cms.de
Januar 5th, 2006 at 10:31
Postnuke als berüchtigt für seine vielen Bugs und Sicherheitslücken zu bezeichnen ist totaler Blödsinn.
Ich beschäftige mich tagtäglich mit CMS Systemen und muß an dieser Stelle Postnuke in Schutz nehmen.
Eine solch schnelle und zuverlässige Comunity wie Sie hinter Postnuke steckt ist sehr selten bei CMS Systemen.
Gerade wer auf Sicherheit und Zuverlässigkeit Wert legt ist mit Postnuke gut beraten.
Grüße aus Thüringen
Hoschie
Januar 5th, 2006 at 18:36
Oha, da scheine ich ja einigen Leuten auf die Füsse getreten zu sein. Achtung: Ich schrieb nicht, dass Postnuke unsicher sei (das kann ich nicht beurteilen), sondern dass es für Sicherheitslücken berüchtigt ist. Immerhin schreibt im von mir verlinkten Forenthread jemand:
The most insecure CMS Ever? I know because I was a developer with the Postnuke project for 6 years.
Eine Suche bei Packetstorm scheint dies zu bestätigen: http://www2.packetstormsecu…
Januar 5th, 2006 at 20:54
Hm, Dein Link ist interessant Total Results: 29 für Postnuke.
Total Results: 30 für phpnuke.
Ist phpNuke nun bedenklicher als Postnuke?
Hinzu kommt das man vieles über die RC Versionen, die ja ausdrücklich nicht für den produktiven Einsatz gedacht sind, und einige Secunia Security Advisory, die von dem PN Team schnell gefixt wurden, dabei sind. Wie das nun für phpNuke ist weiß ich natürlich nicht, ich möchte nun aber auch keinen Vergleich machen.
Tut mir leid so ganz kann ich Deine Schlußfolgerung nicht nachvollziehen, denn nur weil jemand es in einem Forum schreibt heißt es ja nicht das es dann auch so ist. Daher ist Deine Meinung in meinen Augen etwas zu oberflächlich und man sollte doch etwas tiefgründiger Nachsehen ob diese Behaubtung tatsächlich stimmt.
Januar 12th, 2006 at 8:51
[i]Immerhin schreibt im von mir verlinkten Forenthread jemand:
The most insecure CMS Ever? I know because I was a developer with the Postnuke project for 6 years.[/i]
jau – nur gibt es postnuke zum einen erst seit juli 2001 und zum anderen war der verfasser des zitats auch nie im core-team des projektes…
dass chitika eine veraltete version aus dem jahr 2004 (!) einsetzt, sollte imho nicht dem postnuke projekt angelastet werden.