25-05-2016 21:40 door karma4: Typo3 open source gratis en een CMS voor webservers (linux).
Man(/vrouw), zwam toch niet zo. Je kunt Typo3 op elk OS installeren waarvoor een redelijke webserver en een Python interpreter beschikbaar zijn.
Correctie 26-05-2016 07:15: zoals Arnhemmer verderop terecht opmerkt heb je geen Python maar PHP als basis nodig voor Typo3. Mijn excuses voor de ontstane verwarring!
25-05-2016 21:40 door karma4: Als je wilt zeggen dat je dat soort zaken moet vermijden ben je consequent ...
WTF probeer jij te zeggen c.q. woorden in mijn mond te leggen!?
Doel van mijn bijdrage:
1) Zoveel mogelijk beheerders van Typo3 sites, of security-geïnteresseerden die zo iemand kennen, waarschuwen dat hun Typo3 site ernstig lek kan zijn;
2) Ik noem digid.nl expliciet als voorbeeld omdat dit een site in Nederland is waar
heel veel van afhangt. Of die site kwetsbaar was/is voor dit lek, weet ik niet. Dat dit in potentie wel zo is, mogen bezoekers daarvan best weten. Als volgende werk blijkt dat DigiD.nl gehacked is, hebben de security.nl lezers in elk geval een vermoeden hoe dat kon gebeuren.
Ik kan me ook voorstellen dat DigiD gebruikers even wachten met DigiD transacties totdat op die site staat dat Typo3 is gepatched of niet kwetsbaar is.
Enkele -off-topic in de reactie op karma4 - maar wel aan de DigiD site gerelateerde- opmerkingen: Aangezien ik in de pagina "veiligheid" (te vinden via de sitemap, link daarvoor onderaan elke pagina), buiten algemene verhaaltjes over "Onafhankelijke beoordeling" en "Continue aanpassingen"
niets concreets te vinden is over de beveiliging van het systeem aan de serverzijde (zoals transparantie middels een patch-log of een mededeling dat de site niet kwetsbaar is voor dit lek, bijv. omdat geen Typo3 extensies worden gebruikt), zullen de beheerders ook hier waarschijnlijk niks over publiceren. Wellicht is informatie over de actuele veiligheid van overheidswebsites, net als het aantal telefoontaps in Nederland, ook een staatsgeheim?
Daarnaast, op die pagina (
https://www.digid.nl/nl/veiligheid/) staat onder meer:
Vul uw DigiD alleen in op de echte inlogpagina van DigiD. Dit kunt u als volgt controleren:
[...]
- Het adres van de inlogpagina begint met https://digid.nl. Dit kunt u controleren in de adresbalk van uw browser. De aanvraagpagina en de activeringspagina van DigiD beginnen ook met https://digid.nl.
[...]
Echter , die
veiligheidspagina zelf begint daar niet mee. Sterker, als ik in mijn browser
https://digid.nl/ open, wijzigt de URL automatisch in
https://www.digid.nl/. Zou de site al gehacked zijn?
(nee, althans dit is geen symptoom daarvan, maar leg dat maar eens uit aan een leek).
Terug naar de vreemde opmerking van karma4: ook al probeer jij mij deze in de mond te leggen, ik heb
geheel geen vooroordelen als het om besturingssystemen en/of de keuze closed versus open source gaat: get the best tool for the job - op basis van gewogen argumenten.
Ik heb flinke ervaring met veel verschillende besturingssystemen (en andere softwareproducten) en weet daardoor: geen enkele producent is perfect, en dus ook hun producten niet. Ook laten server-side-users (organisaties die deze producten op servers inzetten), vaak steken vallen. Indien er bewijzen, sterke aanwijzingen of vermoedens zijn dat een producent of server-side-user (ineens of al langer) wanprestaties levert, en dit -naar mijn persoonlijke mening- onvoldoende in de media verschijnt waardoor m.i. te weinig gebruikers hiervan op de hoogte zijn, neem ik geen blad voor de mond en schrijf daarover. Mijn doel daarbij is tevens het opvoeren van druk op die producent en/of server-side-user om haar leven te verbeteren (en die aanpak, niet alleen van mij,
werkt, desgewenst geef ik voorbeelden van successen die ik heb behaald).
Zaak is wel om dat eerlijk, onderbouwd met steekhoudende argumenten en verwijzingen naar zo betrouwbaar mogelijk werk van anderen te doen (ik doe dat niet in alle gevallen
meteen omdat men mijn bijdragen vaak te lang vindt en een kort statement een prima discussie kan aanwakkeren waar ik, en wellicht anderen, van leren).
Onderbouwing, van wat vooral een
mening lijkt, zie ik in
jouw bijdragen zelden of nooit (in discussiethreads over W10 beklaag jij je telkens weer over Mongo-DB, Wordpress en zomogelijk alle open source producenten). Soms doe je zeer uit de hoogte maar lijk je nauwelijks praktijkkenis te heben (voorbeeld: jouw reactie onder
https://www.security.nl/posting/470472/Microsoft+verwijdert+optie+om+wifi-toegang+te+delen+uit+Windows+10).
Wat probeer
jij eigenlijk te bereiken met jouw bijdragen?