Daily Archives: 13. Mai 2009

Entwickler bietet noch immer fehlerhaftes CMS an

In CMS mit XSS und SQL-Injection – Entwickler genervt schrieb ich über ein CMS und deren Entwickler.

Auf den eigenen Seiten zum CMS, für das er sein eigenes Produkt benutzt, hat der Entwickler die Lücken einen Tag nach meinen Hinweisen geschlossen. Zu den Lücken gibt er keine Infos an die User seines CMS, nicht auf seiner WebSite, nicht im Forum, nicht im Newsletter und… die Version die man bei ihm aktuell downloaden kann, ist noch immer die alte Version, mit den Lücken!

Ich denke, wenn man Software anbietet, auch wenn sie kostenlos und Open Source ist, hat man als Entwickler eine Verantwortung für sein Produkt. Man kann die User nicht einfach im Unklaren lassen und hoffen das niemand die Lücken bemerkt, das ist ein Vorgehen wie bei Closed Source und den Großkonzernen, der Softwarebranche.

Zwei Wochen sind vielleicht noch zu wenig Zeit für den Entwickler gewesen… Wie lange sollte man warten, bis man Sicherheitslücken in einer Software veröffentlicht?


Update:
Ich habe den Entwickler gefragt warum noch immer die alte Version zum Download angeboten wird:

Wir haben noch keine praktikable Lösung gefunden, die einerseits die höchstmögliche Sicherheit bietet, andererseits aber alle Funktionen die das System derzeit bietet noch darstellen kann.

Das müßen wir intensiv testen, ich kann schlecht einen Patch rausbringen wo dann die Hälfte des Systems nicht mehr funktioniert, das werden Sie sicherlich verstehen.

Das verstehe ich durchaus, Tests brauchen ihre Zeit, aber was ich nicht verstehe ist, warum er weiterhin die fehlerhafte Version verteilt, anstatt die Downloadmöglichkeit zu deaktivieren:

das ist keine Option.

Nette Antwort, da fühlt man sich als User der Software doch in sehr guten Händen…

Das Thema mit ihm weiter auszudiskutieren macht wohl eher keinen Sinn. Gegen die Lernresistenz hilft nur die Öffentlichkeit – ich beobachte die Untätigkeit noch eine Zeit lang.


Update – 14.05.2009 -16:40 Uhr:
Heute gibt es einen Patch für das CMS und eine Version inkl. Patch zum Download. Allerdings ist der Patch fehlerhaft. :O) Es fehlen Dateien, die gepatcht werden müßten und in den gepatchten Dateien hat er die Daten, die in TEXTAREA-TAGs eingegeben werden, nicht gefiltert.

Ich weiß nicht warum, aber auch andere Entwickler vergessen häufig die TEXTAREA-TAGs zu filtern.