Anmelden
Ich möchte für die nächsten 30 Tagen angemeldet bleiben
Deutsch
Several pages in the usergroup are available in English. Click on english to visit these pages.

DotNetNuke News

26.04.2008
Wie sicher ist DotNetNuke? (Sebastian Leupold)
Angesichts der aktuellen Warnung vor hunderttausenden gehackten Web-Sites fragen sich sicher auch einige Betreiber von DotNetNuke-Portalen, wie sicher das Framework ist. Die gute Nachricht:...
Angesichts der aktuellen Warnung vor hunderttausenden gehackten Web-Sites fragen sich sicher auch einige Betreiber von DotNetNuke-Portalen, wie sicher das Framework ist. Die gute Nachricht: DotNetNuke hat hier einen guten Ruf - was sicher auf der Qualität der Entwickler und deren besonderem Focus auf diesem Thema beruht. So wird jede Änderung des Frameworks vor der Veröffentlichung einer neuen Version vom Security-Team auf typische Angriffsszenarien geprüft, gleiches gilt für die Standardmodule, die einen Release-Prozess durchlaufen müssen, der auch ein Security Review umfasst. Anders sieht die Situation aber bei Fremdherstellermodulen aus, hier empfiehlt es sich, die Qualität zu prüfen, bevor man ein Modul auf den eigenen Portalen einsetzt. Glücklich, wer den Quellcode besitzt und selbst die Expertise besitzt, auf Sicherheit prüfen zu können. Für alle anderen ist ein wichtiges Kriterium die Qualifikation des Herstellers (da habe ich nicht bei jedem Hobbyentwicker, der für ein paar Dollar sein Modul auf Snowcovered veröffentlicht, wirklich Vertrauen),  ggf. sollte man nachfragen, wie der Hersteller sein Modul testet, Programmierrichtlinien festlegt und seine Entwickler diesbezüglich schult. Eine wirkliche Sicherheitsgarantie gibt es allerdings nicht.
Die aktuelle Welle sollte jedoch DotNetNuke-Portale kaum treffen (bisher sind nur 2 Fälle bekannt), da eine Lücke für SQL-Injection verwendet wird, und da die meisten DotNetNuke-Module Stored Procedures verwenden, sind hier die Risiken begrenzt. Allerdings können parallel installierte ASP- und andere Technologien Löcher für den ganzen Server aufreißen, wenn die Web-Sites nicht sauber separiert sind.

Kommentare: 1

Matthias Schlomann meint

Ende 2004 suchte ich eine neue Lösung für ein Webradio. Hierbei informierte ich mich über das Hackerrisiko bei den verschiedenen Systemen. Zu guter letzt entschied ich mich für DNN, dass wir nun seit 2005 auf www.moonlightradio.net einsetzen. Der grund hierfür war, dass unter DNN überwiegend von mir compilierte Module eingesetzt werden, und direkter Code kaum von außen zugänglich ist. Eine DNN Seite worde seit dem ich DNN benutze bisher nicht gehackt.
# 29.04.2008 10:59