Startseite
  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche
Startseite › Forum › Drupalcenter.de › Drupal Jobs ›

[gelöst] Updates Drupal 8 für meine Webseite

Eingetragen von BarbaraK (1)
am 11.11.2019 - 10:56 Uhr in
  • Drupal Jobs
  • Drupal 8.x

Hallo

Ich suche jemanden, der regelmäßig die Updates auf meiner Webseite (Drupal 8) macht.

Ich freue mich auf Angebote.

Barbara

Vielen Dank für die vielen Angebote.

‹ Wir suchen Hilfe zur Finanlisierung einer mit Drupal erstellten datenbankgestützten Internetseite [gelöst] Updates Drupal 8 für meine Webseite ›
  • Anmelden oder Registrieren um Kommentare zu schreiben

Sicherheit braucht zeitnahe (< 3h) nicht nur regelmäßige Updates

Eingetragen von C_Logemann (823)
am 07.12.2019 - 12:16 Uhr

Wenn es darum geht, das System sicher zu halten, reichen regelmäßige Updates nicht aus. Daß wir kritische Sicherheits-Updates unter drei Stunden eingespielt haben sollten, hat die Drupal-Community 2014 mit dem so genannten "Drupalgeddon" schmerzhaft lernen müssen. Siehe z.B.: "WARNUNG: Systeme (Drupal 7 und 6 mit DBTNG-Modul), die nicht am 15.10. innerhalb von 3 Stunden gepatcht wurden, sind evtl. infiltriert!".

Das zeitnahe Einspielen von Sicherheitsupdates oder zumindest das zeitnahe Absichern von Webanwendungen können einzelne Admin leider nicht allein gewährleisten. Das heißt so ein Service erfordert mindestens Kooperation oder mehrere Mitarbeiter.innen, mit den entsprechenden Fähigkeiten, Zugängen und Bereitschaftszeiten.

# DrupalCenter-Moderator # Mitglied im Drupal e.V. # https://www.drupal.org/u/c_logemann
# CTO der Nodegard GmbH: CMS Security & Availability Management

  • Anmelden oder Registrieren um Kommentare zu schreiben

In der Mitte

Eingetragen von eigentor (1424)
am 10.12.2019 - 11:44 Uhr

Also die Wahrheit liegt m.E. in der Mitte.
Ja, es gibt manchmal Sicherheitsupdates, die ein sofortiges Handeln erfordern.
Allerdings werden diese vom Drupal-Sicherheitsteam normal drei Tage vorher angekündigt.
Wenn man einen verandtwortungsvollen Dienstleister hat, dann spielt dieser dann Stunden nach der Veröffentlichung den Patch ein. Volle Updates dauern zu lange, wenn man mehr als zehn Seiten zu betreuen hat. Das kann man dann nacholen.

Und weiterhin sind die beiden Drupalgeddons in 12 Jahren, seit ich im Drupal-Boot rudere, genau zweimal vorgekommen.
Zweieinhalbmal, wenn man mitrechnet, dass beim zweiten Mal letztes Jahr dann ein weiteres hochkritisches Update kurz nach dem ersten nachgeschoben wurde.

rufzeichen-logo

  • Anmelden oder Registrieren um Kommentare zu schreiben

Kritische Sicherheitslücken in Contrib-Modulen gibt es häufiger

Eingetragen von C_Logemann (823)
am 12.12.2019 - 09:36 Uhr

Der Hinweis auf die Ereignisse im Oktober 2014 soll nur deutlich machen, daß wir als Community als erstes mal die Erfahrung gemacht haben, daß nach der Veröffentlichung des Sicherheitsupdates nach sehr kurzer Zeit Angriffe auf zigtausend Drupal-Website automatisiert durchgeführt wurden. Auf die Bedrohung durch automatisierte Angreifer, kann man meiner Meinung nach nur mit neuen Strategien – am besten auch automatisiert – reagieren. Wenn keine Zeit zum sofortigen Patchen da ist, dann muss man die Website eben erstmal unzugänglich für Hacker machen (d.h. Wartungsmodus reicht nicht). Das machen wir auch bei Kunden, die kein Premium-Support buchen wollen/können. Das Risiko, daß ein Sicherheitspatch nicht kurzfristig angewandt werden kann ist vor allem hoch, wenn die Webanwendung sonst nicht regelmäßig mit Updates versorgt wird. Denn Patches werden in Regel nur gegen die aktuelle Codebase angelegt.

Für die Angreifbarkeit der Website ist es unerheblich, ob die Lücke im Core oder einem Contrib-Modul liegt. Bei Contrib-Modulen gibt es viel häufiger auch sehr kritische Lücken (d.h. angreifbar von uneingeloggten Nutzern, d.h. auch Hack-Bots). Und deshalb gibt es da keine Mitte. Verantwortungsvolle Admins können sich eben keine Zeit lassen, Systeme abzusichern.
Die allgemeine Bedrohung durch die Seltenheit schwerwiegender Sicherheitslücken im Core, die aufgrund der guten Arbeit der Core-Entwickler tatsächlich sehr selten sind zu relativieren ist somit problematisch. Und daß man sich inzwischen bemüht, die schlimmsten Situationen ein paar Tage vorher anzukündigen ist eines, was man aus den Ereignissen im Oktober 2014 gelernt hat. Aber das Ausbleiben einer solchen Warnung ist noch keine Entwarnung für die Website. Ich verlasse mich nicht mal auf Mails oder Tweets des Sicherheitsteams. Was zählt sind die Security Advisories auf Drupal.org insbesondere während der definierten Zeitfenster. Aber auch bei den Zeitfenstern hatten wir inzwischen schon Ausnahmen ...

# DrupalCenter-Moderator # Mitglied im Drupal e.V. # https://www.drupal.org/u/c_logemann
# CTO der Nodegard GmbH: CMS Security & Availability Management

  • Anmelden oder Registrieren um Kommentare zu schreiben

Benutzeranmeldung

  • Registrieren
  • Neues Passwort anfordern

Aktive Forenthemen

  • D 7.78 und eine sqlite Datenbank statt mySQL
  • Versenden von Anfragen per Webform
  • eMail-Adresse überprüfen ob diese auch tatsächlich existiert
  • [gelöst]Welche Tokens werden bei Images im Feld Dateiverzeichnis erlaubt
  • Modulupdate per Webinterace scheitert an authorize.php und access denied für Admin-User
  • Fehlermeldung nach Update auf PHP 7.4 - array offset on value of type null in geocoder_widget...
  • BEF Exposed Filter collapse funktioniert nicht mit Bootstrap Theme
  • content und media-files von drupal8 nach drupal9 migrieren
  • Notificationsnicht immer und gesammelt bei Update
  • Meldung zu Token im Statusbericht
  • Fehlermeldung: Deprecated function
  • Warning: call_user_func() expects parameter 1 to be a valid callback, class 'Drupal\node\Entity\Node' does not have a method 'ge
Weiter

Neue Kommentare

  • bei den meisten Hostern
    vor 7 Stunden 28 Minuten
  • wirklich sicherstellen kann man es nur,
    vor 7 Stunden 32 Minuten
  • Moin Moin vielen lieben Dank
    vor 13 Stunden 10 Minuten
  • Auch,wenn es noch über
    vor 17 Stunden 53 Minuten
  • Das steht über dem Bereich,
    vor 17 Stunden 56 Minuten
  • Hallo Jenna, ich habe das
    vor 1 Tag 14 Stunden
  • Ich hatte gehofft, bis auf
    vor 1 Tag 14 Stunden
  • Wenn der Provider keine freie
    vor 1 Tag 14 Stunden
  • Problemeingrenzung
    vor 1 Tag 16 Stunden
  • Ich habe es bei einigen
    vor 2 Tagen 18 Stunden

Statistik

Beiträge im Forum: 245991
Registrierte User: 18832

Neue User:

  • finnster
  • Damian1802
  • MrWebMV

» Alle User anzeigen

User nach Punkten sortiert:
wla9012
stBorchert6003
quiptime4972
Tobias Bähr4019
bv3916
ronald3831
md3717
Thoor3678
Alexander Langer3416
Exterior2903
» User nach Punkten
Zur Zeit sind 0 User und 2 Gäste online.

Hauptmenü

  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche

Quicklinks I

  • Infos
  • Drupal Showcase
  • Installation
  • Update
  • Forum
  • Team
  • Verhaltensregeln

Quicklinks II

  • Drupal Jobs
  • FAQ
  • Drupal-Kochbuch
  • Best Practice - Drupal Sites - Guidelines
  • Drupal How To's

Quicklinks III

  • Tipps & Tricks
  • Drupal Theme System
  • Theme Handbuch
  • Leitfaden zur Entwicklung von Modulen

RSS & Twitter

  • Drupal Planet deutsch
  • RSS Feed News
  • RSS Feed Planet
  • Twitter Drupalcenter
Drupalcenter Team | Impressum & Datenschutz | Kontakt
Angetrieben von Drupal | Drupal is a registered trademark of Dries Buytaert.
Drupal Initiative - Drupal Association