Typo3 open source gratis en een CMS voor webservers (linux).
https://typo3.org/ met een safety first policy. Als je wilt zeggen dat je dat soort zaken moet vermijden ben je consequent in het aanwijzen van allerlei mogelijke issues.

Man(/vrouw), zwam toch niet zo. Je kunt Typo3 op elk OS installeren waarvoor een redelijke webserver en een Python interpreter beschikbaar zijn.

WTF probeer jij te zeggen c.q. woorden in mijn mond te leggen!?

Doel van mijn bijdrage:

1) Zoveel mogelijk beheerders van Typo3 sites, of security-geïnteresseerden die zo iemand kennen, waarschuwen dat hun Typo3 site ernstig lek kan zijn;

2) Ik noem digid.nl expliciet als voorbeeld omdat dit een site in Nederland is waar heel veel van afhangt. Of die site kwetsbaar was/is voor dit lek, weet ik niet. Dat dit in potentie wel zo is, mogen bezoekers daarvan best weten. Als volgende werk blijkt dat DigiD.nl gehacked is, hebben de security.nl lezers in elk geval een vermoeden hoe dat kon gebeuren.

Ik kan me ook voorstellen dat DigiD gebruikers even wachten met DigiD transacties totdat op die site staat dat Typo3 is gepatched of niet kwetsbaar is.


Terug naar de vreemde opmerking van karma4: ook al probeer jij mij deze in de mond te leggen, ik heb geheel geen vooroordelen als het om besturingssystemen en/of de keuze closed versus open source gaat: get the best tool for the job - op basis van gewogen argumenten.

Ik heb flinke ervaring met veel verschillende besturingssystemen (en andere softwareproducten) en weet daardoor: geen enkele producent is perfect, en dus ook hun producten niet. Ook laten server-side-users (organisaties die deze producten op servers inzetten), vaak steken vallen. Indien er bewijzen, sterke aanwijzingen of vermoedens zijn dat een producent of server-side-user (ineens of al langer) wanprestaties levert, en dit -naar mijn persoonlijke mening- onvoldoende in de media verschijnt waardoor m.i. te weinig gebruikers hiervan op de hoogte zijn, neem ik geen blad voor de mond en schrijf daarover. Mijn doel daarbij is tevens het opvoeren van druk op die producent en/of server-side-user om haar leven te verbeteren (en die aanpak, niet alleen van mij, werkt, desgewenst geef ik voorbeelden van successen die ik heb behaald).

Zaak is wel om dat eerlijk, onderbouwd met steekhoudende argumenten en verwijzingen naar zo betrouwbaar mogelijk werk van anderen te doen (ik doe dat niet in alle gevallen meteen omdat men mijn bijdragen vaak te lang vindt en een kort statement een prima discussie kan aanwakkeren waar ik, en wellicht anderen, van leren).

Onderbouwing, van wat vooral een mening lijkt, zie ik in jouw bijdragen zelden of nooit (in discussiethreads over W10 beklaag jij je telkens weer over Mongo-DB, Wordpress en zomogelijk alle open source producenten). Soms doe je zeer uit de hoogte maar lijk je nauwelijks praktijkkenis te heben (voorbeeld: jouw reactie onder https://www.security.nl/posting/470472/Microsoft+verwijdert+optie+om+wifi-toegang+te+delen+uit+Windows+10).

Wat probeer jij eigenlijk te bereiken met jouw bijdragen?

Typo3 hoort tot de betere en veiligere CMS systemen, maar 100% veilig bestaat nu eenmaal niet.
Veel gemeenten werken ook met Typo3 en dat kan bij een lek gevaarlijk worden.
Hopelijk wordt het snel gedicht, voordat er misbruik van gemaakt wordt.

Wij (gemeente met TYPO3) waren vorige week al op de hoogte gesteld en wisten ook dat afgelopen dinsdag om 10:00 uur een patch beschikbaar zou komen. Om 10:05 dinsdagochtend zijn onze servers gepatched.
Ergo: elk systeem kent kwetsbaarheden en zorg dat je bijblijft en zo snel mogelijk aan de slag gaat als er security updates verschijnen.

Je bedoelt PHP in plaats van Python mag ik aannemen, mijn beste.

Erik Ik had deze post van je gezien en proberen te begrijpen waar je nu eigenlijk op aanstuurt.
Je zorgen over fouten in typo3 kan ik begrijpen. Niets nieuws software zonder fouten bestaat niet. Voor dit CMS systeem een hele waslijst bij de NCSC https://www.google.nl/#q=typo3+site:ncsc.nl . Goede beheerders / verantwoordelijke personen houden zoiets bij en krijgen vaak eerder inside informatie. Daarmee kan je je de change releasematig plannen. Zo'n fout zit er al lang in. Er moet dan een afweging gemaakt worden tussen de impact van alles stilleggen dan wel met goed opletten even doorgaan tot die change er door is.

Dus waarom die digid.nl gebruik opmerking? Je geeft daarmee aan dat je overtuigd bent dat de mensen daarachter er niets van snappen. Als je de hack klaar hebt liggen dan zou je voor een RDC kunnen gaan niet voor een directe openbaring.
Met digid en typo3 kwam de plugins voor een koppeling en het noemen ervan in het kader van open standaarden.
Lijkt me als tool verder niet mis mee als keus (Eens Ron625). Met Anoniem 14:35 is dat plaatje compleet. Een week voor de planning moet te doen zijn.

Wat ik probeer te bereiken. Je noemt het MongoDB als een voorbeeld. Wat je daar ziet:
- het releasemanagement is ondergeschikt gemaakt aan een snel leuk resultaat.
Een van de opmerkingen die ik gezien heb is dat indien het goed geconfigureerd wordt het wel netjes dicht kan.
- De gegevens die er in opgeslagen worden dusdanig gevoelig zijn dat je eerder had moeten afvragen of het risico van data-lekken wel opwoog tegen dat leuke resultaat.
Dat zijn bewegingen die moet zien te vermijden. Het is denken vanuit het doel van gegevensverwerking de top-down benadering.

Wat ik te veel zie en waar ik last van heb is dat gedoe van de helemaal opgaan in de techniek en tool / leveranciers voorkeuren. Men besteed het liever uit, schaft een tool aan en dan moet het tool de oplossing voor alles gaan worden.
Vervolgens gaat het doel van de gegevensverwerking verloren verliest men het zicht op de data veiligheid.
De leveranciers krijgen daarbij bijna de vrije hand om slechte zaken af te leveren.

Hoe krijg je dat veranderd?
Ik geef dan maar weerwoord op dat soort tool-vernauwing, kjjken of het iets teweeg brengt. Doel: Als het beeld van tools als het wondermiddel terug gaat naar noodzaak van visie met afwegingen bij verantwoordelijken is er pas iets te bereiken.

Je hebt helemaal gelijk, mijn excuses! Ik heb nu zelf even geen idee meer waar ik de associatie met Python vandaan heb. Ik wist overigens ook niet dat Typo en Typo3 ongerelateerd zijn. Weer wat geleerd!

Dank voor jouw opmerking, ik heb e.e.a. hierboven gecorrigeerd.

Je verdraait opnieuw mijn woorden. Ik geef niets anders aan dan wat ik geschreven heb, namelijk: "Of die site kwetsbaar was/is voor dit lek, weet ik niet".

Ik vermoed dat de DigiD.nl site goed wordt onderhouden, maar zeker weten doe ik dat niet. Wat ik wel constateer en schreef is dat er geen openheid is over het patchbeleid op die site. En dat er staat dat je erop moet letten dat de URL begint met https://digid.nl/, maar dat als ik die URL open, ik vanzelf op httpd://www.digid.nl/ terechtkom. Ik snap waarom, maar een leek waarschijnlijk niet.

Ik schrijf dus nergens "dat de mensen daarachter er niets van snappen" laat staan dat ik van zoiets "overtuigd" zou zijn.

Gezien de inhoud van jouw "bijdragen" op dit forum was dit de laatste keer dat ik inhoudelijk op een "bijdrage" van jou heb gereageerd. Ik stel het bijzonder op prijs als jij ook niet meer op bijdragen van mij reageert. Doe je dat toch dan zal ik steeds verwijzen naar deze bijdrage.

Er is ook nog een Typo3-Neos, deze is (dacht ik) iets uitgebreider en veiliger, maar zeker weten doe ik het niet.
Deze is wel aan Type3 gerelateerd.
Er zijn minimaal 3 gemeenten die hiermee (Neos dus) werken.

Dat zijn exact jouw woorden. Gericht op tools, de technische details waar je gelijk halen via deze weg zoekt omdat het je via een meer gewone weg kennelijk niet lukt, dan wel dat je er geen vrede mee hebt.
Mijn antwoord heb je daaronder. Ik heb jaren ervaring met vele systemen (technisch) en zie veel meer dan me vaak lief is waar het fout gaat. Ik zoek het niet zo in de tools technische details waar de belangrijkste uitdagingen zitten. De ervaring is dat zoiets meer verstorend werkt dan iets constructiefs oplevert. Men zit op oplossingen te wachten niet op problemen.

Zie https://www.security.nl/posting/471973#posting472151