Open Source CMS per definitie onveilig?

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

K Korkmaz

K Korkmaz

17/04/2012 14:11:43
Quote Anchor link
Mijn hosting/ontwikkelaar die zijn eigen CMS gebruikt, verteld mij dat de open source CMS (Opencart) dat ik wil gebruiken harstikke onveilig is, omdat het systeem PHP SAFE MODE OFF en CGI(wat volgens hem verouderd en uiterst onveilig is) gebruikt. Zit hier een kern van waarheid in?
Gewijzigd op 17/04/2012 14:13:54 door K Korkmaz
 
PHP hulp

PHP hulp

25/12/2024 05:38:34
 
Robin Van den Broeck

Robin Van den Broeck

17/04/2012 14:13:49
Quote Anchor link
PHP safe mode off is juist aangeraden... xD
 
K Korkmaz

K Korkmaz

17/04/2012 14:15:20
Quote Anchor link
Robin Van den Broeck op 17/04/2012 14:13:49:
PHP safe mode off is juist aangeraden... xD


Hij zegt dat SAFE MODE standaard aan staat, omdat dit veiliger is.
 
Wouter J

Wouter J

17/04/2012 14:16:49
Quote Anchor link
Open Source CMS is niet per definitie onveilig. Systemen als Drupal, TYPO3 of WordPress kun je gewoon altijd gebruiken.

Van die instellingen heb ik geen verstand. Maar zelfs PHP zelf raad het niet meer te gebruiken: http://php.net/manual/en/ini.sect.safe-mode.php
Gewijzigd op 17/04/2012 14:19:13 door Wouter J
 
Mebus  Hackintosh

Mebus Hackintosh

17/04/2012 14:18:55
Quote Anchor link
Een eigen CMS vind ik ook veiliger. Mede omdat bij een groot opensource CMS iedereen in de code kan kijken, bugs kan zoeken en misbruiken (en dan ook erg snel op andere websites). Dit is minder snel het geval bij een eigen CMS. Wilt niet zeggen dat een eigen CMS onveilig is want er zijn nog steeds erg veel mensen die niet veilig scripten (injection, xss, etc..).
 
K Korkmaz

K Korkmaz

17/04/2012 14:22:32
Quote Anchor link
Hosting/ontwikkelaar, gaf aan dat als ik CGI gebruik, wat ik schijnbaar nodig heb voor OpenCart(CMS), ik verantwoordelijk ben voor alle schade wat via mijn site is wordt veroorzaakt.. Klopt het dat CGI zo onveilig en verouderd is?

Ik heb bij een andere hostingbedrijf navraag gedaan en die vinden het geen probleem als ik CGI-bin gebruik. Deze hosting geeft aan dat een hostingbedrijf zelf verantwoorderlijk is voor de beveiliging.


Zijn reactie hieronder in de mail, nadat hij SAFE MODE uitzette en CGI aandeed(dit moest, omdat anders opencart niet functioneert);

CGI is een (verouderde) taal om verzoeken mee af te handelen, dit gebeurt de laatste jaren eigenlijk volledig met php
> Reden is dat CGI erg onveilig is en veelvuldig wordt gehacked.
> Dit is inzake CGI onze policy, zelfde geld voor alle open source scripting:

Indien cgi scripts oorzaak zijn van een veiligheidslek, schade aanrichten op het systeem of de processor en het geheugen te veel belasten waardoor de technische staf moet ingrijpen is de schade voor rekening van de eigenaar van de website.

Voorwaarden gebruik CGI Scripts

· Je bent te allen tijde verantwoordelijk voor hetgeen je cgi scripts doen.

· Er mogen geen cgi scripts ten behoeve van derden draaien, oftwel je cgi scripts mogen niet buiten je domein om worden aangeroepen.

· CGI scripts mogen geen schade aan het systeem toebrengen, veel tijdelijke files wegschrijven of te veel processortijd in beslag nemen.

· Sommige cgi scripts, zoals mailform.cgi en mail-a-form, zijn niet toegestaan in verband met veiligheidsproblemen.

· De plaatser/onderhouder van het cgi script wordt geacht voldoende kennis te hebben van de taal waarin het cgi script is geschreven om het probleemloos te laten draaien. Zonder deze kennis raden we het plaatsen van cgi scripts af!

· Indien cgi scripts oorzaak zijn van een veiligheidslek, schade aanrichten op het systeem of de processor en het geheugen te veel belasten waardoor de technische staf moet ingrijpen is de schade voor rekening van de eigenaar van de website.

Toevoeging op 17/04/2012 14:39:38:

Wouter J op 17/04/2012 14:16:49:
Open Source CMS is niet per definitie onveilig. Systemen als Drupal, TYPO3 of WordPress kun je gewoon altijd gebruiken.

Van die instellingen heb ik geen verstand. Maar zelfs PHP zelf raad het niet meer te gebruiken: http://php.net/manual/en/ini.sect.safe-mode.php


aldus klinkklare onzin dat het uitzetten van safe mode onveilig is of begrijp ik het verkeerd? Hij verteld dat nu/in de toekomst je safe mode niet meer uit kunt zetten en dat die altijd aan zal blijven in de nieuwere versies van php..
Gewijzigd op 17/04/2012 14:34:41 door K Korkmaz
 
- SanThe -

- SanThe -

17/04/2012 16:10:43
Quote Anchor link
Van php.net:
safe_mode "0" PHP_INI_SYSTEM Removed in PHP 5.4.0.

Standaard staat het dus uit en in de toekomst bestaat het niet meer.
 
Chris -

Chris -

17/04/2012 16:34:16
Quote Anchor link
Het is niet per definitie onveilig, maar via SiteSafe krijg ik wel vaak verzoeken tot hulp bij gehackte websites die zijn gemaakt in WordPress en Joomla. OpenCart en OSCommerce overigens ook.

In veel gevallen zijn er extra instellingen en handmatige veranderingen nodig om een systeem veilig(er) te maken, maar dat is idem met een eigen CMS. Ik ben dan ook benieuwd naar hun CMS en of deze wel veilig is. Er komen namelijk net zo vaak verzoeken binnen van websites die zijn gemaakt in een eigen systeem en compleet lek blijken te zijn.

Bottom line; een open source CMS is niet per definitie onveilig, evenals een gesloten CMS. Pas wanneer je zelf de kennis heb om beveiligingsrisico's te achterhalen, zoeken en kan voorkomen heb je een veilig systeem.
 

17/04/2012 18:42:46
Quote Anchor link
Safe mode wordt ten zeerste afgeraden, daarnaast is er geen enkel probleem met php in cgi mode, en is ook niet verouderd.
Lijkt mij er meer op dat hun servers slecht zijn geconfigureerd?!

Als ik het zo lees wat jouw webhoster voor een voorwaarden stelt, adviseer ik je om gelijk te verhuizen van hoster!
 
K Korkmaz

K Korkmaz

17/04/2012 19:40:43
Quote Anchor link
Phoenix Bird op 17/04/2012 18:42:46:
Safe mode wordt ten zeerste afgeraden, daarnaast is er geen enkel probleem met php in cgi mode, en is ook niet verouderd.
Lijkt mij er meer op dat hun servers slecht zijn geconfigureerd?!

Als ik het zo lees wat jouw webhoster voor een voorwaarden stelt, adviseer ik je om gelijk te verhuizen van hoster!


Ik dank jullie allen voor alle reacties! ik kreeg al gelijk een slecht gevoel met deze persoon/firma. ik had hem verzocht het domein naar een andere hosting te koppelen (dns records aanpassen). dat was geen probleem. Ik denk niet dat die daar blij mee was, maar ik ga niet accoord met zijn voorwaarden.
Gewijzigd op 17/04/2012 19:52:55 door K Korkmaz
 



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.