Startseite
  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche
Startseite › Forum › Drupalcenter.de › Module ›

Gefahren durch Hintertüren

Eingetragen von Hinrich (136)
am 08.02.2006 - 11:54 Uhr in
  • Module

Hintertüren, oft auch Backdoors genannt, kennt man eigentlich aus Filmen, bei denen Computer-Kriminalität eine zentrale Rolle spielt. Das aber Fiktion und Realität dicht beieinander liegen, zeigt ein jüngst wieder in die Diskussion geratenes Hintertürchen bei dem Web-Portal-System PHP-Nuke.

Im Oktober 2004 wurde dabei eine Hintertür in einer Reihe von Modulen gefunden, die von der sogenannten 4n-Community angeboten wurden. Nachdem Anwender von PHP-Nuke und dem Fork 2F CMS mehrfach über zerstörte Web-Sites berichteten, wurde in Zusammenarbeit mit Jens Ferner, Autor des Forks 2F CMS und des PHP-Nuke-Buchs, die Hintertür analysiert.

Der Autor der betroffenen Module, Lothar Dambowsky, reagierte verschnupft auf die Veröffentlichung der Hintertür und der damit ins Feld geworfenen Vorwürfe. Die Web-Site unter der Domain 4n-community.de verschwand für längere Zeit und es wurde ruhig.

Mit der Ruhe scheint es nun aber vorbei zu sein: Andi vom Entwickler-Team pragmaMx (einem anderen Fork von PHP-Nuke) wurde mit der Tatsache konfrontiert, dass die Module weiterhin im Umlauf sind, die Web-Site der sogenannten 4n-Community nun unter World Modules wieder im Netz ist.

Vor dem Problem, dass ein Modul schadhaften, ob bewusst oder unbewusst implementiert, Code enthalten kann, steht man auch als Anwender von Drupal. Im Gegensatz zu PHP-Nuke wird aber Sicherheit bei Drupal groß geschrieben. Das zeigt sich auch bei der implementierten Infrastruktur zum Drupal-Support, der Anwendern von Modulen eine gewisse, aber keine absolute Sicherheit gibt:

Entwickler wie Anwender sollten darauf achten, dass sie nur Erweiterungen verwenden, die im CVS unter drupal.org liegen. Die dort vorhandenen Module werden oftmals auch von anderen Entwickler betrachtet, so dass es schwer fallen dürfte, eine Hintertür zu implementieren. Diese zentrale Entwicklungsstruktur stärkt das Vertrauen zwischen Anwender und Entwickler. Sollte man unbedingt ein Modul von einer fremden Web-Site verwenden wollen oder müssen, so ist es dringend anzuraten, den Source von einem Fachmann überprüfen zu lassen. 

Links 

  • phpnuke.de: Multi-Fotoalbum von 4n-community
  • phpnuke.de: Vertrauter Feind - 4n-Module immer noch gefährlich
  • NukeBoards: Multi-Fotoalbum von 4n-community

Quelle: drupal-security.de

‹ image gallery Event Modul anpassen ›
  • Anmelden oder Registrieren um Kommentare zu schreiben

Benutzeranmeldung

  • Registrieren
  • Neues Passwort anfordern

Aktive Forenthemen

  • Views Block -> User Edit Page nicht sichtbar
  • Wie externe JSON API aufrufen?
  • Backup einspielen bei Drupal8, wenn es größer als 2MB ist
  • Blockpositionierung responsive ändern
  • Intranet mit versteckten Bereichen
  • Fehler im Error Log: Fehlendes Filter-Plugin: filter_null.
  • Gelöst: Upgrade D7 auf D8
  • Veranstaltungskalender für Drupal 8 gesucht
  • Tabelle drpl_wv_queue
  • [Userpoints] Punkte gutschreiben bei Registrierung mit Gutscheincode
  • Drupal 8: Module und Themen lassen sich nicht installieren
  • Lösungsansatz für Download-Link nach Zustimmung gesucht
Weiter

Neue Kommentare

  • So, ich glaub ich habs. In
    vor 1 Tag 5 Stunden
  • Ja, ich benutz Seven, und
    vor 1 Tag 6 Stunden
  • Hast Du bei /User/ das
    vor 1 Tag 7 Stunden
  • Hi. Da gibt es verschiedene
    vor 1 Tag 11 Stunden
  • drush und sql
    vor 1 Tag 11 Stunden
  • Context Breakpoint ..
    vor 1 Tag 11 Stunden
  • Context mit
    vor 1 Tag 15 Stunden
  • drush sql-dump macht das
    vor 2 Tagen 1 Stunde
  • Datenbank sichern (.. und zurück)
    vor 2 Tagen 5 Stunden
  • Da es in einem Intranet läuft,
    vor 2 Tagen 9 Stunden

Statistik

Beiträge im Forum: 242895
Registrierte User: 18465

Neue User:

  • Khalifa
  • Megabee
  • Ela

» Alle User anzeigen

User nach Punkten sortiert:
wla8738
stBorchert6003
quiptime4972
Tobias Bähr4019
bv3879
ronald3772
md3717
Thoor3678
Alexander Langer3416
Exterior2903
» User nach Punkten
Zur Zeit sind 0 User und 2 Gäste online.

Hauptmenü

  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche

Quicklinks I

  • Infos
  • Drupal Showcase
  • Installation
  • Update
  • Forum
  • Team
  • Verhaltensregeln

Quicklinks II

  • Drupal Jobs
  • FAQ
  • Drupal-Kochbuch
  • Best Practice - Drupal Sites - Guidelines
  • Drupal How To's

Quicklinks III

  • Tipps & Tricks
  • Drupal Theme System
  • Theme Handbuch
  • Leitfaden zur Entwicklung von Modulen

RSS & Twitter

  • Drupal Planet deutsch
  • RSS Feed News
  • RSS Feed Planet
  • Twitter Drupalcenter
Drupalcenter Team | Impressum & Datenschutz | Kontakt
Angetrieben von Drupal | Drupal is a registered trademark of Dries Buytaert.
Drupal Initiative - Drupal Association