Dieser Artikel erschien ursprünglich in der zweiten Version meines Weblogs, uninformation.org, das von Dezember 2006 bis Juni 2009 aktiv war, und wurde hier aus blognostalgischen Gründen archiviert. Neue Artikel hat die aktuelle Blogversion der Uninformat im Angebot.
Ein Türchen jeden Tag...
Wer es noch nicht bemerkt hat: Auch dieses Jahr gibt es wieder den Webkrauts-Adventskalender, jeden Tag ein informativer Quickie für Webschaffende.
Wenn Ihr auch das alles ignorieren und Euch nur eines merken sollt, dann ist es dieser Beitrag von Stefan. Eine Überschrift hat mit h1 (oder h2, h3 … hn, je nach Dokument) ausgezeichnet zu sein, und nicht mit div class=“headline”. Nicht wahr, meine Freunde von Apple aus der Entwicklungsabteilung für iWeb?
Reich diskutiert wurde auch der Beitrag von Gerrit zum Thema »CMS und kleine Websites«.
Ich selbst bin übrigens auf der »pro-CMS-Seite« und benutze für jede noch so kleine Site Textpattern. Wenn es etwas größer werden soll und PHP noch stets die Anforderung ist, nehme man Redaxo. Alles darüber hinaus mit individuellen Sonderwünschen baue ich in Rails.
In einem muss ich aber widersprechen: WordPress nehmen wir nicht. Oder möchtest Du, verehrter Kollege, für eine Auftragsarbeit zum Zeitpunkt X die Verantwortung für die WP-Sicherheitslücken zum Zeitpunkt X+t übernehmen, wenn diese Site gar nicht mehr Dein Projekt ist?
Du bist nicht nur Entwickler oder Designer, sondern auch beratender Fachmann und als solcher verantwortlich für die Wahl des Werkzeugs. Und zumindest moralisch für die Schäden Deiner gehackten Auftragsarbeit verantwortlich, wenn Du ein Werkzeug empfiehlst, wo die nächsten Sicherheitslücken garantiert kommen werden.
4 Kommentare
Boris am 07.12.2007:
@Plasma:
Um genau zu sein: Die Webkrauts verwenden keine mit Punkt (pt) dimensionierten Schriftarten. Das wäre ja ganz schlimm!
Ich halte die verwendete Schriftgröße übrigens auch für zu klein, aber man sollte sich schon auf die verwendete Einheit (em) beziehen. Punkt (pt) ist ausschließlich sinnvoll (und definiert) im Zusammenhang mit der Druckdarstellung, nicht mit der Bildschirmdarstellung. Dazu müsste es übrigens auch Artikel bei den Webkrauts geben.
@Ralf:
Der letzte Absatz klingt irgendwie komisch. Es wird ganz sicher nicht so sein, dass Wordpress Sicherheitslücken hat und die anderen CMSe nicht.
Ich frage mich manchmal, ob es nicht eher so ist, dass weniger Lücken aufgedeckt werden, weil der Marktanteil und damit das Interesse von Crackern eher gering ist.
Im Ergebnis ist das natürlich dasselbe: Ich empfehle und implementiere ein System, dass sicherer ist als andere, unabhängig davon, warum das so ist.
Eric Eggert am 08.12.2007:
@Plasma: Ein Redesign steht schon lange ins Haus, da wird sich auch was mit der Schritgröße tun, denke ich. In der Zwischenzeit kann man sich mit STRG++ Wunderbar behelfen. Übrigens machen wir das alle in unserer Freizeit, deshalb hat das Redesign eher nachgeordnete Priorität.
@Boris: Ich bin da ganz auf Ralfs Seite. Wenn es wirklich große und verbreitete Systeme wie Drupal und Typo3 es schaffen sicher zu sein, warum kann man dann ein kleines (vom Umfang her) Blogsystem nicht absichern und den Plugin-Entwicklern Tools in die Hand geben, damit sie es leichter haben das selbe zu tun.
Größte Sicherheitslücke in Wordpress ist für mich, dass es einfach jedem x-beliebigen Menschen, der vorbei surft die Versionsnummer verrät. Das ist so als ob ich als Bank den Zahlencode des Hauptsafes öffentlich ausstelle. Das das so nicht geht sollte Wordpress mittlerweile gelernt haben, aber sie machen trotzdem weiter.
Ralf G. am 08.12.2007:
@Plasma: Wie Eric schon schrieb: Wird alles besser!
@Boris: Grundsätzlich hast Du natürlich Recht, kein System ist perfekt und für alle Zeiten sicher. Wie bei den großen Betriebssystemen gibt es aber durchaus solche und solche. Und Wordpress ist nun einmal das Windows unter den kleinen CMSessen, das zeigt die Historie der Lücken. Insbesondere die vielen von unerfahrenen Amateuren geschriebenen Plugins und Themes machen das System anfällig. Wenn ich, wie gerade wieder vielfach passiert, nach einem Update eines Plugins nicht mehr ins System einloggen könnte, würde ich beginnen, über die Qualität des von mir verwendeten Systems nachzudenken…
Wenn ich jetzt einem Kunden eine Site mit Wordpress bauen würde, wäre alles gut. Dann würden Rechnung und Geld getauscht. Projekt zur allgemeinen Zufriedenheit abgeschlossen.
In einem Jahr würde es gehackt. Einfach weil Kunde eben keine Zeit hätte, jeden Tag Blogs zu lesen und sofort das x-te “sicherheitskritische” WP-Update einzuspielen. Dann wäre ich zwar nicht juristisch dafür verantwortlich (denn das Projekt wäre ja längst abgeschlossen), aber moralisch schon.
Daher sollte man gerade in diesen, in der Praxis nun wirklich nicht soooo exotischen Situationen auf Systeme setzen, deren Sicherheits-Historie Grund zu der Annahme gibt, dass schwere Lücken unwahrscheinlicher sind.
Markus Merz am 09.12.2007:
- Der Textpattern Core ist bereits sehr umfangreich und sehr sicher.
- Die Plug-Ins sind nicht so zahlreich wie bei WP, aber meistens von renommierten Leuten geschrieben.
- Beim Hochladen sieht man den Quellcode und kann einen prüfenden Blick werfen.
Und weil Weihnachten ist: Textpattern ist einfach toll/besser :-)