26.04.2008
Wie sicher ist DotNetNuke? (Sebastian Leupold)
Angesichts der aktuellen Warnung vor hunderttausenden gehackten Web-Sites fragen sich sicher auch einige Betreiber von DotNetNuke-Portalen, wie sicher das Framework ist. Die gute Nachricht:...
Angesichts der aktuellen Warnung vor hunderttausenden gehackten Web-Sites fragen sich sicher auch einige Betreiber von DotNetNuke-Portalen, wie sicher das Framework ist. Die gute Nachricht: DotNetNuke hat hier einen guten Ruf - was sicher auf der Qualität der Entwickler und deren besonderem Focus auf diesem Thema beruht. So wird jede Änderung des Frameworks vor der Veröffentlichung einer neuen Version vom Security-Team auf typische Angriffsszenarien geprüft, gleiches gilt für die Standardmodule, die einen Release-Prozess durchlaufen müssen, der auch ein Security Review umfasst. Anders sieht die Situation aber bei Fremdherstellermodulen aus, hier empfiehlt es sich, die Qualität zu prüfen, bevor man ein Modul auf den eigenen Portalen einsetzt. Glücklich, wer den Quellcode besitzt und selbst die Expertise besitzt, auf Sicherheit prüfen zu können. Für alle anderen ist ein wichtiges Kriterium die Qualifikation des Herstellers (da habe ich nicht bei jedem Hobbyentwicker, der für ein paar Dollar sein Modul auf Snowcovered veröffentlicht, wirklich Vertrauen), ggf. sollte man nachfragen, wie der Hersteller sein Modul testet, Programmierrichtlinien festlegt und seine Entwickler diesbezüglich schult. Eine wirkliche Sicherheitsgarantie gibt es allerdings nicht.
Die aktuelle Welle sollte jedoch DotNetNuke-Portale kaum treffen (bisher sind nur 2 Fälle bekannt), da eine Lücke für SQL-Injection verwendet wird, und da die meisten DotNetNuke-Module Stored Procedures verwenden, sind hier die Risiken begrenzt. Allerdings können parallel installierte ASP- und andere Technologien Löcher für den ganzen Server aufreißen, wenn die Web-Sites nicht sauber separiert sind.