Wie sicher ist Drupal?

Auf drupal.org findest du dazu weitere Infos:
http://drupal.org/security-team
http://groups.drupal.org/node/8980
http://groups.drupal.org/best-practices-drupal-security
http://drupalsecurityreport.org/
http://drupalscout.com/knowledge-base

Mit diesem Material solltest du auf jeden Fall genug Lesestoff haben um dann auch deine Kunden zu überzeugen.

SteffenR

Guten Abend

Nichts gegen die gesetzten Links von SteffenR, dennoch sagt das nicht viel über die Sicherheit aus.
Hat denn jemand schon eine "gehackte" Seite?
Ich meine damit nicht über eventuelle Serversicherheitslöcher, sondern explizit über Drupal?
Nun ich bin sicher nicht faul, aber mir sämtliche Beiträge von SteffenR durchzulesen, und das wichtigste zu Filtern ist eine Wochenaufgabe...

mfg
alex01

Schauen wir uns mal das Beispiel Sony an: Alle Kundendaten wurden geklaut!
Ist dies bei Drupal auch möglich? (Mal ausgenommen das Passwort für einen adminuser oder für die mysql datenbank wird geknackt)

Wenn der Kunde entsprechend informiert werden soll, muss man sich mit der Sicherheitsthematik schon auseinandersetzen. Das beinhaltet eben jede Menge Texte zu lesen. Auch ich stehe immer wieder vor dieser Frage und muss den Kunden näher bringen wie der Sicherheitsstatus bei Drupal ist. Mit ein paar wenigen Worten ist das meist unzureichend beschrieben. Ich kann die Links von Steffen nur empfehlen und sich damit auseinanderzusetzen.

Die Frage: Wie sicher ist Drupal
ist sicherlich nicht so zu beantworten, dass der Kunde daraus seine Schlüsse ziehen kann. .
Es ist zunächst einmal zu hinterfragen, welche Angriffe abgewehrt sein müssen und wie hoch das Risiko eines solchen Angriffes sind.
Eine pauschale Frage kann nur pauschal beantwortet werden. Doch davon hat der Kunde meiner Meinung nach überhaupt keinen Mehrwert.

Gruß
Gerald.

könnt ihr mir nichtmal ne pauschale antwort geben? ich versteh da bei den links nur bahnhof :(

Woran haperts denn und welche Fragen willst Du konkret beantwortet haben?
Eine pauschale Antwort ist: Drupal ist sicher.

gibt es sicherheitslücken die gehackt werden können?
können benutzerdaten ausgespäht werden? (Passwörter, E-Mails, etc.)

wie sicher ist es im vergleich mit typo3?

1. Sicherheitslücken können nie ausgeschlossen werden. Weder vom CMS ausgehend, noch vom Server. Entscheidend ist hier, dass schnellst möglich auf Sicherheitslücken reagiert wird und z.B. Drupal Updates schnellst möglich eingebunden werden.
2. Bei den Nutzerdaten kommt es auch auf die Module an, die eingesetzt werden. Wenn hier Lücken gefunden werden, gilt das Gleiche wie bereits unter 1. Bei eigenen Modulen sollte man deshalb besonders aufpassen wie die Daten ausgegeben werden. Das Userpasswort in Drupal 6 wird standardmäßig als MD5 gespeichert, in Drupal 7 hingegen als "salted", Drupal 6 kann aber mit einem entsprechenden Modul auf "salted" Passwörter erweitert werden.

Zu Typo3 kann ich leider nichts sagen ...

Wenn welche bekannt sind, werden sie gestopft. Aber es kann bei jeder Software sein, dass es Lücken gibt, die noch nicht entdeckt wurden.

Wenn, dann werden sie erst behoben und dann öffentlich gemacht.

Nicht solange Du (oder der Serveradmin) irgendetwas falsch macht und jemand Zugriff auf die Datenbank bekommt. Selbst dann sind die Kennwörter noch immer nicht in Klartext lesbar, da sie bis einschließlich Drupal 6 mittels MD5 und seit Drupal 7 mittels SHA verwurstelt sind.

PS: das Modul [do:security_review Security Review] verrät Dir, wie sicher Deine Seite ist.
Und dann gab es da neulich noch das Webinar zum Thema Sicherheit ...

cool danke euch! das sind doch schonmal ein paar gute informationen :)

Wenn Du klare Fragen stellst, wirst Du hier auch klare Antworten bekommen ... ;)

fehlt nurnoch der vergleich mit typo3 und joomla...
Was ist das "sicherste" cms? oder wo liegen die stärken und schwächen der systeme in punkto sicherheit ?

Ich denke hier wirst Du in den entsprechenden Foren mal nachfragen müssen und ein paar mehr Links, siehe oben, nachlesen müssen um Unterschiede und / oder Gemeinsamkeiten herausstellen zu können.

Ich meine mich zu erinnern, dass darauf im bereits erwähnten Webinar eingegangen wurde.
Eine wirklich objektive Meinung dazu zu bekommen ist allerdings äußerst schwer.

Bei den Administratoren der damit gebauten Seiten.
Soll heissen: diese Frage lässt sich nicht wirklich so auf Anhieb beantworten. Dazu müsste man wirklich detaillierte Analysen der System machen, detaillierte Kenntnisse von möglichen kritischen Punkten haben und die Systeme dann gezielt daraufhin untersuchen.
Das gibt dann jedoch immer noch keine zuverlässige Antwort darauf, wie sicher die Systeme von Haus aus sind. Das hängt ja nicht nur vom CMS selbst ab, sondern auch von der Serverkonfiguration und diversen anderen Dingen (zum Beispiel, welche Berechtigungen welchen Benutzern der Seite gegeben werden).

Genau das mit den Berechtigungen ist schonmal eine große Schwachstelle von Drupal:
Im core kann man einem nutzer in punkto Benutzerverwaltung nur entweder super Rechte geben oder garkeine. Das heisst wenn ich einem Abteilungsleiter das recht geben möchte user hinzuzufügen mit einer bestimmten Rolle kriegt er auch das Recht alle Nutzer zu editieren. Auch die Administratoren und uid 1. Und dort kann er mal eben Passwort, Email und Rolle ändern oder sich ganz einfach selbst zum Administrator machen. Feinfühligere Berechtigungen zur Benutzerverwaltung bieten da nur Zusatzmodule. Aber die bringen ja wieder neue Sicherheitslücken mit sich wie oben beschrieben wurde.

Nein, eigentlich nicht. Gegenüber anderen Systemen ist das sogar ein großes Plus von Drupal.

Öhm, nö. Hier wurde bisher nicht geschrieben, dass Zusatzmodule Sicherheislücken mit sich bringen. Das stimmt nämlich so auch nicht.

Mach Dir wirklich mal die Mühe und lies Dir die Beiträge hinter den bereits geposteten Links durch.

Interessant zum Thema Security wäre auch noch der folgende Screencast:
Introduction to Drupal Security for Coders - http://tutr.tv/t5988

SteffenR