| Door: Martijn Maandag. | Categorie: Algemeen.

De omgekeerde wereld

jedHoe jagen we extensie ontwikkelaars weg uit de JED

Normaal is het zo dat extensie ontwikkelaars alle moeite willen doen om in de JED (Joomla Extensions Directory) te komen om hun extensie te promoten. Ik maakte de afgelopen week het omgekeerde mee. Een extensie ontwikkelaar deed alle moeite om uit de JED te komen. Hoe heeft het zover kunnen komen?

Een extensie die wij ook in de download sectie aanbieden werd genoemd als mogelijk verdacht in een massa test op verdachte code door een bekend figuur in de Joomla wereld.

In het verleden had ik een goed contact met de bouwer van de extensie. Hij kwam heel plezierig over en was blij met opmerkingen over verbeteringen van de extensie. Hij vertelde toen dat de meeste mensen alleen maar met commentaar kwamen op zijn extensie, zonder de handleiding goed te lezen. Hij was blij met mijn opmerkingen, omdat deze met een duidelijke omschrijving kwamen die de oplossing soms al bevatte.

Ik verwachtte dan ook dat de extensie snel aangepast zou worden en wachtte met het bijwerken van de vertaling van een nieuwe versie daarom nog even. Enige tijd later was er nog steeds geen nieuwe versie beschikbaar en heb ik de bouwer maar eens een mailtje gestuurd. Hij was verbaasd over mijn mailtje en zei dat hij van niets wist en of ik kon vertellen hoe hij in contact kon komen met de rapporteur, zodat hij kon achterhalen wat de gevonden problemen waren.

Ik heb vervolgens de rapporteur een mailtje gestuurd met de opmerking dat de bouwer van niets wist en of hij contact wilde opnemen met de bouwer. Hierop kreeg ik als antwoord een mail met de gevonden gebreken en de mededeling dat de JED en VEL (Vulnerable Extensions List) teams dit hadden geplaatst, waarschijnlijk zonder de bouwers te informeren.

Na contact met de bouwer bleek dat alleen ik deze opmerkingen had gekregen, hijzelf wist volgens de (naar mijn mening) normale kanalen nog van niets. De bouwer heeft vervolgens de aanpassingen binnen enkele uren gedaan (een nieuwe release aangemaakt) en na enige moeite zijn extensie uit de JED laten verwijderen. Het niet melden van de verdachte code was voor hem niet de enige reden om zijn extensie van de JED te verwijderen, maar wel de druppel.

Waarom mij dit (niet) verbaasd

Het verbaast mij dat er een extensie (en daarmee de bouwer) openlijk wordt aangeklaagd, zonder dat de bouwer het zelf weet.
Nog meer verbaasd ben ik dat een extensie wordt genoemd, zonder de bouwer eerst de gelegenheid te geven aanpassingen te doen, zodat alles weer veilig wordt.
Nog meer verbaasd ben ik dat sommigen mij, als gebruiker van die extensie, dus opzadelen met een veiligheidsrisico op mijn site, omdat de fout algemeen bekend wordt.
Het verbaast mij dat de ontdekker van de verdachte code, na mijn verzoek aan hem, de bouwer niet op de hoogte heeft gesteld van deze fouten.
Het verbaast mij dat de lijst met mogelijke vulnerables nog steeds bestaat en dat een van de teamleden die zelfs in zijn handtekening heeft staan.
Het verbaast mij niet dat de bouwer zijn extensie direct aangepast heeft.
Het verbaast mij niet dat de bouwer zijn extensie van de JED heeft laten verwijderen, hoewel dat het omgekeerde is wat veel extensie bouwers willen.

Hoe nu verder

  • Verspreid geen namen van extensies die een volgens jou verdachte code bevat, rapporteer het eerst aan de bouwer en vervolgens pas bij Joomla.org.
  • Gebruik opensource software zodat verdachte code makkelijker opgespoord kan worden.
  • Niet schieten op de verkondiger van het bericht.
  • Niet schieten op de bouwer van de extensie.
  • Maak binnen joomla.org een procesflow hoe om te gaan met verdachte extensies.
  • Extensies die veiligheidsrisico's bevatten moeten geweerd worden uit de JED.
  • Bouwers moeten echter ook de gelegenheid krijgen om fouten in hun code te herstellen. Zij moeten daarom daarover geïnformeerd worden en de gelegenheid krijgen aanpassingen te doen. Als dat na een redelijke tijd verzuimd wordt moet de extensie uit de JED verwijderd worden en kan de extensie in de VEL genoemd worden.
  • Verwijder de lijst met verdachte extensies van internet.
  • Er zijn bijna geen links naar toe, maar toch: Hij bestaat nog steeds.
  • Zorg dat je regelmatig een donatie doet aan de bouwer van extensies die je gebruikt en nuttig vindt.

English translation and comments : All together as a whole

© Copyright 2008