Startseite
  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche
Startseite › Forum › Drupalcenter.de › Module ›

Gefahren durch Hintertüren

Eingetragen von Hinrich (136)
am 08.02.2006 - 11:54 Uhr in
  • Module

Hintertüren, oft auch Backdoors genannt, kennt man eigentlich aus Filmen, bei denen Computer-Kriminalität eine zentrale Rolle spielt. Das aber Fiktion und Realität dicht beieinander liegen, zeigt ein jüngst wieder in die Diskussion geratenes Hintertürchen bei dem Web-Portal-System PHP-Nuke.

Im Oktober 2004 wurde dabei eine Hintertür in einer Reihe von Modulen gefunden, die von der sogenannten 4n-Community angeboten wurden. Nachdem Anwender von PHP-Nuke und dem Fork 2F CMS mehrfach über zerstörte Web-Sites berichteten, wurde in Zusammenarbeit mit Jens Ferner, Autor des Forks 2F CMS und des PHP-Nuke-Buchs, die Hintertür analysiert.

Der Autor der betroffenen Module, Lothar Dambowsky, reagierte verschnupft auf die Veröffentlichung der Hintertür und der damit ins Feld geworfenen Vorwürfe. Die Web-Site unter der Domain 4n-community.de verschwand für längere Zeit und es wurde ruhig.

Mit der Ruhe scheint es nun aber vorbei zu sein: Andi vom Entwickler-Team pragmaMx (einem anderen Fork von PHP-Nuke) wurde mit der Tatsache konfrontiert, dass die Module weiterhin im Umlauf sind, die Web-Site der sogenannten 4n-Community nun unter World Modules wieder im Netz ist.

Vor dem Problem, dass ein Modul schadhaften, ob bewusst oder unbewusst implementiert, Code enthalten kann, steht man auch als Anwender von Drupal. Im Gegensatz zu PHP-Nuke wird aber Sicherheit bei Drupal groß geschrieben. Das zeigt sich auch bei der implementierten Infrastruktur zum Drupal-Support, der Anwendern von Modulen eine gewisse, aber keine absolute Sicherheit gibt:

Entwickler wie Anwender sollten darauf achten, dass sie nur Erweiterungen verwenden, die im CVS unter drupal.org liegen. Die dort vorhandenen Module werden oftmals auch von anderen Entwickler betrachtet, so dass es schwer fallen dürfte, eine Hintertür zu implementieren. Diese zentrale Entwicklungsstruktur stärkt das Vertrauen zwischen Anwender und Entwickler. Sollte man unbedingt ein Modul von einer fremden Web-Site verwenden wollen oder müssen, so ist es dringend anzuraten, den Source von einem Fachmann überprüfen zu lassen. 

Links 

  • phpnuke.de: Multi-Fotoalbum von 4n-community
  • phpnuke.de: Vertrauter Feind - 4n-Module immer noch gefährlich
  • NukeBoards: Multi-Fotoalbum von 4n-community

Quelle: drupal-security.de

‹ image gallery Event Modul anpassen ›
  • Anmelden oder Registrieren um Kommentare zu schreiben

Benutzeranmeldung

  • Registrieren
  • Neues Passwort anfordern

Aktive Forenthemen

  • PHP 8.1 - Deprecated function: rtrim()
  • Preloader / Spnner entfernen Menu Link Modal-Modul
  • Schriftgröße standard einstellen
  • Drupal Website gestalten
  • MariaDB 10.6
  • Entity Reference - Title Felder werden als Link angezeigt
  • Tokens werden in Viev als Link angezeigt
  • [bug entdeckt & workaround gefunden] benutzerdefinierte Felder vom Userprofil tauchen ungefragt auch in den Forumtopics auf...
  • [gelöst] Mass contact Empfängerliste nach Taxonomy Term statt Rolle
  • Update V. 9.3.12 auf V. 9.4 mit Fehler: Modul mySQL fehlt. Bitte Hilfe.
  • Sprachpfad, in Drupal Korrekt einstellen, auch bei den Meta-Tags
  • Update von Drupal 9.3 auf 9.4 oder bei 9.3 bleiben
Weiter

Neue Kommentare

  • Danke fürs Feedback. Gut dass
    vor 2 Tagen 9 Stunden
  • Patch angewandt
    vor 2 Tagen 12 Stunden
  • core_version_requirement: ^8
    vor 4 Tagen 13 Stunden
  • core_version_requirement: ^8
    vor 4 Tagen 13 Stunden
  • ok. Wenn ich das mache
    vor 4 Tagen 13 Stunden
  • Bei gleichem Namen hat das
    vor 4 Tagen 14 Stunden
  • Sorry, dass ich mich hier
    vor 4 Tagen 14 Stunden
  • Habe Patch versucht
    vor 4 Tagen 21 Stunden
  • Hier wird ein Patsch
    vor 4 Tagen 23 Stunden
  • Mit Drupal geht das um 150
    vor 5 Tagen 10 Stunden

Statistik

Beiträge im Forum: 247866
Registrierte User: 19592

Neue User:

  • Davidsnins
  • kudes
  • Tkakah

» Alle User anzeigen

User nach Punkten sortiert:
wla9213
stBorchert6003
quiptime4972
Tobias Bähr4019
bv3924
ronald3845
md3717
Thoor3678
Alexander Langer3416
Exterior2903
» User nach Punkten
Zur Zeit sind 0 User und 4 Gäste online.

Hauptmenü

  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche

Quicklinks I

  • Infos
  • Drupal Showcase
  • Installation
  • Update
  • Forum
  • Team
  • Verhaltensregeln

Quicklinks II

  • Drupal Jobs
  • FAQ
  • Drupal-Kochbuch
  • Best Practice - Drupal Sites - Guidelines
  • Drupal How To's

Quicklinks III

  • Tipps & Tricks
  • Drupal Theme System
  • Theme Handbuch
  • Leitfaden zur Entwicklung von Modulen

RSS & Twitter

  • Drupal Planet deutsch
  • RSS Feed News
  • RSS Feed Planet
  • Twitter Drupalcenter
Drupalcenter Team | Impressum & Datenschutz | Kontakt
Angetrieben von Drupal | Drupal is a registered trademark of Dries Buytaert.
Drupal Initiative - Drupal Association