[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [TYPO3-german] Akute Sicherheitslücke in vielen TYPO3-Versionen



Peter,

nehmen wir mal 20 Installationen an, die mehr oder weniger jeder von uns im Portfolio 
hat. 20 x 15 Minuten = 5 Stunden; was sicherlich viel scheint, aber impliziert, daß  
as Backup gerade durchläuft. Wir, wie viele anderen hier auch, sehen es aber ggf aus 
einem anderen Blickwinkel:

- Da fehlt ein Backup, also erst mal die Installation taren und SQL dumpen, 
beides wegsichern
- Dann das Update installieren (mit allen erforderlichen Schritten)
- Dann das Update "aktivieren" (/install/ > mehrere Caches löschen, DB-Prüfung, 
Extension-Check und ggf. Updates-Scripte ausführen)
- Dann das Update testen (bei uns 2 dedizierte Seiten aufrufen und Funktion dort 
prüfen)
- Update intern freigeben, Datensicherung von oben in 30 Tagen vernichten (aber 
bis dahin vorhalten)
-- Oder Rollback des vorherigen Ist-Zustandes

Das haben wir teilweise gescriptet, daher kommen wir in der echten, wirklichen 
Realität mit 30 Minuten per Installation aus; von Hand sind das 2 Stunden.

Das wird Dank "patch" nun zweigleisig: Update/Upgrade ist das eine, Patch das 
andere, der Vorgang sonst der selbe.

Damit ist mal der Aufwand geklärt, den jeder von uns je Update seriöserweise treiben muß. 
Bei rund 4 Updates pa p Domain bräuchten wir dann schon mal einen Wartungsvertrag mit wenigstens 
1.200 Euro net. nur für Core-Updates - je Installation!

Abseits der Schritte kommt aber auch hinzu, daß ein Admin dafür frei sein muß. High-Risk-Updates wie das 
aktuelle müssen aber sofort installiert werden und können nur von einem Superadmin durchgeführt werden (ua 
SSH-Rootzugang erforderlich); nicht von "normalen" Admins  zumindest nach unserer Policy und dt. 
Datenschutzbestimmungen.

Daher ist es absolut unverständlich für ein CMS wie Typo3 diese eigentlich banale 
Funktion nicht zu professionalisieren. Statt dessen wird in Backend-GUI investiert, was 
zweifelsohne richtig ist (aber mal echt: arbeiten in Grid Elements führen immer noch einen 
Reload aus??), aber evtl. die falsche Priorität hat.

Aber wir machen das seit Typo3 4.2 so, warum nicht auch noch bei Typo3 8LTS...

Jan Sass
--
jansass GmbH
Lemsahler Dorfstraße 4 22397 Hamburg / Deutschland
Telefon         +49 40 300 36 844
Telefax         +49 40 300 36 845
Skype           jansass.gmbh
E-Mail          info (at) jansass.com
_______________________________________________
TYPO3-german mailing list
[email protected]
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german