Einer Softwareschmiede habe ich bereits im März mehrere Hinweise zu Lücken (es ging mal wieder um XSS) in ihrem CMS gemailt. Gestern bekam ich eine Antwort:

Für die Gestaltung (HTML, CSS etc.) der web sites unserer Kunden sind wir nicht direkt verantwortlich. Dies geschieht im Projekt durch den Kunden selbst oder einen ausgewählten Systemintegrator.

Wir liefern den Kunden das unterliegende CMS mit dem prinzipiell beliebige Ausgabeformate (HTML, WML, PDF etc.) erzeugt werden können.

Nach 90 Tagen Bedenkzeit, ist die Antwort bisschen dürr und sehr Falsch!

Der Webdesigner der einen Designentwurf in ein fertiges Template für ein CMS umsetzt, hat mit HTML und CSS keinen Einfluss auf die Validierung, sprich – was das CMS mit den übergebenen Daten aus Formularfeldern anstellt oder wie Steuerungsparameter in der URL verarbeitet werden.

Nur mit JavaScript könnte im Template eine Vorabprüfung stattfinden, die aber leicht umgangen werden kann und eigentlich nur zur Verbesserung der Usability Sinn macht, in der Form, dass z.B. in einem PLZ-Feld nur Ziffern eingegeben werden können. Wenn nun aber direkt in einem Link (GET) oder per selbstgebasteltem Script (POST) andere Zeichen als Ziffern übergeben werden, so greift das JavaScript nicht, da muß dann das CMS entsprechend reagieren.

Es besteht auch die Möglichkeit das die von mir gefundenen Lücken nicht direkt dem CMS anzulasten sind. Ein Kunde möchte etwas in seiner Website nutzen, was das CMS nicht anbietet, also muß eine Erweiterung dafür entwickelt werden. Der Entwickler der Erweiterung ist dann für die Prüfung der übergebene Daten verantwortlich. Wenn der Entwickler diese Prüfung nicht sorgfältig genug integriert, so ist das CMS zwar anfällig für Angriffe, aber dies liegt dann nicht im Einflussbereich des Herstellers des CMS.

Allerdings waren auch Lücken in der Suchfunktion des CMS. Ich gehe mal davon aus, dass jedes CMS heutzutage eine Suchfunktion mitbringt. ;O)


Wer hat mir denn da geantwortet?
Kein Geringerer als der “Executive Director”.
Von der Putzkolonne?
Nein, von der Abteilung “Technical Services”.


Ok, nur weil er der Verantwortliche für die Abteilung ist, muß er nicht wirklich tiefgreifendes Fachwissen besitzen, vielleicht ist er sehr gut in der Führung des Personals – aber eine so falsche Antwort…

Titel können mich nicht beeindrucken – nur Fachwissen ist dazu in der Lage.