TYPO3 Security Bulletin – 19 Extension betroffen
Heute erschien ein neues TYPO3 Security Bulletin.
Von den 19 betroffenen Extensions wurden lediglich vier Extensions gefixt:
- aba_watchdog
- car
- dr_blob
- nl_listman
Bei den anderen 15 Extensions wurden keine Patches zur Behebung eingereicht oder der Autor konnte oder wollte nicht erreicht werden. Diese Verhältnis gibt mir ein wenig zu denken. Jeder Entwickler macht einmal Fehler, auch in einer meiner Extensions gab es bereits einmal ein Sicherheits-Leck. Selbstverständlich wurde umgehend das Problem behoben und ein Updates ins TER gestellt. Wie seht Ihr das? Warum werden so wenig Extensions nach der Veröffentlichung noch betreut? Auch wenn man keine Zeit mehr für eine Weiterentwicklung hat, so sollte meiner Meinung der Autor doch wenigstens sicherheitsrelevante Fixes durchführen. Oder sehe ich das einfach nur zu eng?
Dezember 15th, 2009 at 12:51
Hi,
du siehst es mit den etwas falschen Augen:
Einige Extensions sind aus 2006 oder noch älter. Das sind im Grunde einfach Leichen, die niemanden mehr interesieren, aber halt noch im TER sind. Manche Leute machen nicht mal mehr TYPO3
Oft sind solche Extension einfach veraltet usw.
Dann kann durchaus pech dazu kommen und der Autor war 2 Wochen auf urlaub und dann noch 3 Wochen im Krankenhaus. Es ist natürlich immer möglich, dass Extensions wieder ins TER zurückkehren
Georg
member TYPO3 Security Team
Dezember 15th, 2009 at 13:15
Ok, das Argument mit den alten Extensions kann ich nachvollziehen. Aber 2 Wochen Urlaub + 3 Wochen Krankenhaus ist sicher nicht unmöglich, aber sehr unwahrscheinlich
Wie auch immer, ich habe auch die eine oder andere Extension, die ich nicht mehr pflege, aber sollten da Sicherheitsprobleme vorliegen, würde ich diese beheben.
Dezember 15th, 2009 at 13:31
naja die Policy erlaubt das Löschen nach 10 Tagen nicht-melden, also 14 Tage urlaub reichen aus um da mal was zu verschlafen.
Wobei bei CSBs die Extension sofort gelöscht wird und nicht auf ein Bulletin gewartet wird
Dezember 15th, 2009 at 13:34
Ja ich kenne diese Regelung, finde ich zum Teil auch ok. Auf der einen Seite ist die Zeit natürlich wichtig, auf der anderen sind 10 Tage nicht gerade viel, wenn man sofwas wie Urlaub berücksichtig. Aber Du hast natürlich recht, dass man eine Ext jederzeit wieder einstellen kann.
Dezember 15th, 2009 at 21:02
Hi,
in einigen anderen Open-Source Projekten gibt es sowas wie “Orphan Projects”, das sind Aufgaben (in unserem Fall Extensions) die es zwar gibt um deren Pflege sich aber keiner mehr kümmert. Vllt. wäre ein “Nutzerinterface” zur Freigabe / Übertragung bzw. der Beantragung zur Übertragung einer solchen Extension ein Weg die vielen Leichen im TER in sinnvolle und aktuelle Extensions “umzuwandeln”. Vllt. würde es auch einfach genügen Extensions mit einem “maintained”-Flag, welches regelmäßig bestätigt werden muss, auszustatten und nur Extensions zum direktem Download anzubieten die wirklich gewartet werden.
Alles nur so Ideen – insgesamt sind die Feedback-Möglichkeiten zu Extensions im TER zu gering und die Bestehenden werden zu selten genutzt … aber das wurde an so vielen Stellen schon diskutiert – ob sich da wirklich mal jemand findet steht in den Sternen
Dezember 15th, 2009 at 23:05
Deine Idee finde ich echt super. Hast Du diese Idee schon einmal im Core-Team geäußert? Falls nicht würde ich das gerne mal weiter tragen.
Dezember 16th, 2009 at 09:04
du kannst problemlos schon heute extensions an wen anderen übertragen, einfach einloggen und dann bei der liste deiner extensions einen user eingeben und button klicken
Dezember 16th, 2009 at 10:15
Das ist ja nicht gemeint. Der Vorschlag ist eine Art Portal, in dem man seine Extension anbieten kann. Es geht darum eine Anlaufstelle zu schaffen, wo man Extensions finden kann, die zur Übernahme zur Verfügung stehen. T3BAY sozusagen
Dezember 20th, 2009 at 15:06
Hi Zuammen
Im letzten Jahr habe ich viel mit Extension Entwicklern gemailt, teilweise mit konkreten Patches und vorschlägen, teilweise einfach ein Dankeschön für die tolle Arbeit.
Alles in allem war ich sehr positiv überrascht wie viele Entwickler geantwortet und sich über ein Feedback gefreut haben.
Die Möglichkeiten sind alle schon da, es ist einfach eine Frage der Kommunikation.
Ein kleines Experiment:
1.) Macht eine Liste mit den Extensions die Ihr in Euren Projekten nutzt.
2.) Schaut ob jedes Projekt bei Forge ist. (forge.typo3.org)
2.1) Wenn nein: Schreibt dem Entwickler ein Dankeschön für die Tolle arbeit und fragt ob er die Extension auf Forge stellen würde, damit man Issues und Patches erfassen kann. Und ganz wichtig, damit man im Team an der Extension via SVN arbeiten könnte.
2.2) Wenn das Projekt bei Forge ist, schreibt den Entwicklern des Forge Teams eine Dankschön-Mail, dass sie es auf Forge entwickeln!
3.) Wenn das Projekt bei Forge ist und Ihr einen Patch oder eine tolle Idee habt, schreibt einen schönen kurzen Report im Issue tracker. (z.B. “add Insert Record support” mit einem Link zu einem Snipped, oder “switch cron script to scheduler” mit einem link zum Tutorial.
4.) Fragt nach 1-2 Wochen nach.
Ihr werdet überrascht sein, wie viele Entwickler offen sind um mit anderen zusammen zu arbeiten.
Viele Extension-Entwickler wissen schlicht und einfach nicht, dass es Forge, Newsgroups oder IRC zu TYPO3 gibt! Viele kriegen auch wenig produktives Feedback, weil viele Nutzer nicht verstehen, dass es ja freiwillige Entwicklungsarbeit ist und sie deswegen keien spezifischen Erwartungen stellen dürfen.
Eine Kopplung vom TER zu Forge wäre absolut genial und absolut wichtig!
Gruss Jonas