Startseite
  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche
Startseite › Forum › Drupalcenter.de › Drupal Jobs ›

[gelöst] Updates Drupal 8 für meine Webseite

Eingetragen von BarbaraK (1)
am 11.11.2019 - 11:56 Uhr in
  • Drupal Jobs
  • Drupal 8.x

Hallo

Ich suche jemanden, der regelmäßig die Updates auf meiner Webseite (Drupal 8) macht.

Ich freue mich auf Angebote.

Barbara

Vielen Dank für die vielen Angebote.

‹ Wir suchen Hilfe zur Finanlisierung einer mit Drupal erstellten datenbankgestützten Internetseite [gelöst] Updates Drupal 8 für meine Webseite ›
  • Anmelden oder Registrieren um Kommentare zu schreiben

Sicherheit braucht zeitnahe (< 3h) nicht nur regelmäßige Updates

Eingetragen von C_Logemann (856)
am 07.12.2019 - 13:16 Uhr

Wenn es darum geht, das System sicher zu halten, reichen regelmäßige Updates nicht aus. Daß wir kritische Sicherheits-Updates unter drei Stunden eingespielt haben sollten, hat die Drupal-Community 2014 mit dem so genannten "Drupalgeddon" schmerzhaft lernen müssen. Siehe z.B.: "WARNUNG: Systeme (Drupal 7 und 6 mit DBTNG-Modul), die nicht am 15.10. innerhalb von 3 Stunden gepatcht wurden, sind evtl. infiltriert!".

Das zeitnahe Einspielen von Sicherheitsupdates oder zumindest das zeitnahe Absichern von Webanwendungen können einzelne Admin leider nicht allein gewährleisten. Das heißt so ein Service erfordert mindestens Kooperation oder mehrere Mitarbeiter.innen, mit den entsprechenden Fähigkeiten, Zugängen und Bereitschaftszeiten.

# DrupalCenter-Moderator # Mitglied im Drupal e.V. # https://www.drupal.org/u/c-logemann
# CTO der Nodegard GmbH: CMS Security & Availability Operations / Wir unterstützen IT-Abteilungen, Agenturen, Freiberufler:innen

  • Anmelden oder Registrieren um Kommentare zu schreiben

In der Mitte

Eingetragen von eigentor (1424)
am 10.12.2019 - 12:44 Uhr

Also die Wahrheit liegt m.E. in der Mitte.
Ja, es gibt manchmal Sicherheitsupdates, die ein sofortiges Handeln erfordern.
Allerdings werden diese vom Drupal-Sicherheitsteam normal drei Tage vorher angekündigt.
Wenn man einen verandtwortungsvollen Dienstleister hat, dann spielt dieser dann Stunden nach der Veröffentlichung den Patch ein. Volle Updates dauern zu lange, wenn man mehr als zehn Seiten zu betreuen hat. Das kann man dann nacholen.

Und weiterhin sind die beiden Drupalgeddons in 12 Jahren, seit ich im Drupal-Boot rudere, genau zweimal vorgekommen.
Zweieinhalbmal, wenn man mitrechnet, dass beim zweiten Mal letztes Jahr dann ein weiteres hochkritisches Update kurz nach dem ersten nachgeschoben wurde.

rufzeichen-logo

  • Anmelden oder Registrieren um Kommentare zu schreiben

Kritische Sicherheitslücken in Contrib-Modulen gibt es häufiger

Eingetragen von C_Logemann (856)
am 12.12.2019 - 10:36 Uhr

Der Hinweis auf die Ereignisse im Oktober 2014 soll nur deutlich machen, daß wir als Community als erstes mal die Erfahrung gemacht haben, daß nach der Veröffentlichung des Sicherheitsupdates nach sehr kurzer Zeit Angriffe auf zigtausend Drupal-Website automatisiert durchgeführt wurden. Auf die Bedrohung durch automatisierte Angreifer, kann man meiner Meinung nach nur mit neuen Strategien – am besten auch automatisiert – reagieren. Wenn keine Zeit zum sofortigen Patchen da ist, dann muss man die Website eben erstmal unzugänglich für Hacker machen (d.h. Wartungsmodus reicht nicht). Das machen wir auch bei Kunden, die kein Premium-Support buchen wollen/können. Das Risiko, daß ein Sicherheitspatch nicht kurzfristig angewandt werden kann ist vor allem hoch, wenn die Webanwendung sonst nicht regelmäßig mit Updates versorgt wird. Denn Patches werden in Regel nur gegen die aktuelle Codebase angelegt.

Für die Angreifbarkeit der Website ist es unerheblich, ob die Lücke im Core oder einem Contrib-Modul liegt. Bei Contrib-Modulen gibt es viel häufiger auch sehr kritische Lücken (d.h. angreifbar von uneingeloggten Nutzern, d.h. auch Hack-Bots). Und deshalb gibt es da keine Mitte. Verantwortungsvolle Admins können sich eben keine Zeit lassen, Systeme abzusichern.
Die allgemeine Bedrohung durch die Seltenheit schwerwiegender Sicherheitslücken im Core, die aufgrund der guten Arbeit der Core-Entwickler tatsächlich sehr selten sind zu relativieren ist somit problematisch. Und daß man sich inzwischen bemüht, die schlimmsten Situationen ein paar Tage vorher anzukündigen ist eines, was man aus den Ereignissen im Oktober 2014 gelernt hat. Aber das Ausbleiben einer solchen Warnung ist noch keine Entwarnung für die Website. Ich verlasse mich nicht mal auf Mails oder Tweets des Sicherheitsteams. Was zählt sind die Security Advisories auf Drupal.org insbesondere während der definierten Zeitfenster. Aber auch bei den Zeitfenstern hatten wir inzwischen schon Ausnahmen ...

# DrupalCenter-Moderator # Mitglied im Drupal e.V. # https://www.drupal.org/u/c-logemann
# CTO der Nodegard GmbH: CMS Security & Availability Operations / Wir unterstützen IT-Abteilungen, Agenturen, Freiberufler:innen

  • Anmelden oder Registrieren um Kommentare zu schreiben

Benutzeranmeldung

  • Registrieren
  • Neues Passwort anfordern

Aktive Forenthemen

  • Grundsatzfrage
  • Drupal 9 Hosting
  • Seite auf Xamp wird nicht geladen
  • Anregung für die Installation von Drupal
  • [simplenews_stats] [D10] Keine Öffnungen/Ansichten der Newsletter werden gezählt
  • Theme Olivero - Rand entfernen?
  • Olivero veraendern
  • Upgrade Drupal 9 auf 10
  • Matomo(?) in Seite, aber Deinstalliert!
  • Upgrade Drupal 7 auf Drupal 9 / Inhalt erstellen zeigt nur Fehler an
  • Fehlermeldung nach Update auf Drupal 10
  • Wie Button erstellen?
Weiter

Neue Kommentare

  • Grundsatzfrage
    vor 10 Stunden 51 Minuten
  • Schlichte Antwort: Ja, das
    vor 12 Stunden 15 Minuten
  • Hallo! Welchen Host nutzt du
    vor 1 Tag 16 Stunden
  • Also bei mir funktioniert es
    vor 1 Tag 17 Stunden
  • Hat mir auch sehr geholfen,
    vor 1 Tag 17 Stunden
  • Releases Stand 20-9-2023
    vor 3 Tagen 2 Stunden
  • Hi, Das ist leider nicht das
    vor 3 Tagen 20 Stunden
  • Wie plötzlich passierte
    vor 5 Tagen 1 Stunde
  • Sowas geht immer mit
    vor 6 Tagen 23 Stunden
  • vielen Dank fuer Deine Tipps.
    vor 1 Woche 6 Stunden

Statistik

Beiträge im Forum: 248811
Registrierte User: 19835

Neue User:

  • inklusion
  • sofortnovo
  • MacLeod1639

» Alle User anzeigen

User nach Punkten sortiert:
wla9334
stBorchert6003
quiptime4972
Tobias Bähr4019
bv3924
ronald3845
md3717
Thoor3678
Alexander Langer3416
Exterior2903
» User nach Punkten
Zur Zeit sind 0 User und 3 Gäste online.

Hauptmenü

  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche

Quicklinks I

  • Infos
  • Drupal Showcase
  • Installation
  • Update
  • Forum
  • Team
  • Verhaltensregeln

Quicklinks II

  • Drupal Jobs
  • FAQ
  • Drupal-Kochbuch
  • Best Practice - Drupal Sites - Guidelines
  • Drupal How To's

Quicklinks III

  • Tipps & Tricks
  • Drupal Theme System
  • Theme Handbuch
  • Leitfaden zur Entwicklung von Modulen

RSS & Twitter

  • Drupal Planet deutsch
  • RSS Feed News
  • RSS Feed Planet
  • Twitter Drupalcenter
Drupalcenter Team | Impressum & Datenschutz | Kontakt
Angetrieben von Drupal | Drupal is a registered trademark of Dries Buytaert.
Drupal Initiative - Drupal Association