| Door: . | Categorie: Algemeen.

Joomla! veiligheid en onveilig vrijen

JVVMisschien ben je teleurgesteld wanneer je ontdekt dat dit artikel niet over sex gaat en al helemaal niet over onveilig vrijen. Wilco Jansen maakte de vergelijking tussen onveilig vrijen en Joomla! veiligheid tijdens zijn presentatie op de Zwitserse Joomladagen over Joomla! veiligheid.

Hij begon zijn presentatie met de vraag of Joomla! veilig is, gevolgd door de vraag of internet over het algemeen gezien kan worden als een veilige plek. Wat betreft het internet is het vrij duidelijk, bedrijven verdienen grof geld aan het aanbieden van allerlei beschermingsmaatregelen zoals virusscanner, firewalls en anti-spamsoftware. We zien geregeld nieuwsberichten over gehackte sites, gestolen creditcardgegevens of sites die gebruikt worden voor een  denial of service aanval. Dus over het algemeen zal iedereen het er over eens zijn dat het internet geen veilige plek is. Hetzelfde geldt voor onveilig vrijen... als je geen voorzorgsmaatregelen neemt kun je een ziekte oplopen waarvan sommige behoorlijk vervelend kunnen zijn.

Naar aanleiding van deze presentatie schreef Wilco Jansen een blog op JFoobar. Dit artikel is een vertaling daarvan.

Als we naar Joomla! kijken en de vraag of het in principe veilig is kunnen we de vraag op verschillende manieren beantwoorden, maar net zoals bij het internet is het standaard antwoord natuurlijk nee. Zoals dat ook voor elke webapplicatie zal luiden maar laten we eens enkele mogelijke antwoorden bekijken die gegeven kunnen worden op de vraag: "Is Joomla veilig?"

Antwoord 1: In principe kan de Joomla! basiscode als veilig worden beschouwd. Indien er een veiligheidsprobleem van hoge prioriteit wordt ontdekt wordt het zeer snel opgelost. We pretenderen niet dat het morgen nog veilig is, eenvoudig omdat hackers ook met hun illustere praktijken bezig zijn.

Antwoord 2: In principe kan de Joomla! basiscode als veilig worden beschouwd, maar zonder een veilige webhosting omgeving kan zelfs de meest veilige vrijgave van Joomla! gehackt worden.

Antwoord 3: In principe kan de Joomla! basiscode als veilig worden beschouwd, maar zonder afdoende scannen van de extensies die je installeert kan je site worden gehackt door de eerste de beste onveilige extensie die je installeert op je site.

Begrijp je waar ik naartoe wil? Ik kan waarschijnlijk nog veel meer antwoorden en combinaties verzinnen maar daar gaat het niet om. Webveiligheid gaat allereerst om bewustzijn. Begrijp je de mogelijke risico's waaraan je site is blootgesteld? Heb je enig idee welke voorzorgsmaatregelen je kunt treffen om je site zo veilig mogelijk te maken? Heb je een (bij voorkeur eenvoudige) strategie om het gewenste veiligheidsniveau te handhaven?

De discussie omtrent de veiligheid van Joomla! wordt steeds intenser in onze fora en blogs. In veel gevallen zien we dat mensen wiens site gehackt werd eenvoudig geen voorzorgsmaatregelen hebben genomen of zelfs erger zich niet hebben verdiept in de basis veiligheidsmaatregelen.

In dit soort gevallen kunnen we natuurlijk hun klachten over de (on)veiligheid van Joomla! terugkaatsen met de vraag of zij ook onveilig vrijen, of misschien wat minder direct of ze een virusscanner gebruiken op hun systeem. Ik neem aan dat de meeste mensen zullen antwoorden "natuurlijk bescherm ik mijn computer, dat is logisch, iedereen weet dat je dat moet doen" of terug naar het sex voorbeeld: "Natuurlijk vrijen we veilig".

Waarom zien we zoveel voorbeelden van mensen die niet voldoende voorzorgsmaatregelen hebben genomen om hun site te beschermen? Ik heb dit niet tot op de bodem uitgezocht maar ik heb enkele ideeën:

  • Je kunt Joomla! in principe in elke omgeving waarop een webserver en MySQL draait installeren. Het gebruikersgemak geeft de mensen de impressie dat er automatisch ook voor de bescherming van de website is gezorgd. Joomla! is een zeer populair artikelbeheer systeem. Miljoenen mensen gebruiken het, de keerzijde van dit succes is echter dat het platform ook aantrekkelijk is voor een leger hackers.
  • Voor Joomla! zijn enkele duizenden extensies beschikbaar en zelfs nog meer templates. Niet iedere extensie ontwikkelaar is een web professional en is niet altijd op de hoogte van de beste manier om een extensie veilig te bouwen. Soms worden de extensies niet meer onderhouden en wanneer er een kwetsbaarheid wordt ontdekt wordt deze niet opgelost. Eindgebruikers of administrators hebben niet de kennis om een veilige omgeving op te zetten.
  • Er zijn zeker meer redenen die ik zou kunnen bedenken maar het meest belangrijke dat ik me realiseer is dat over het algemeen mensen niet de moeite nemen om de beschikbare informatie te lezen, simpel aannemen dat het niet zo'n vaart loopt en er wel voor de veiligheid gezorgd wordt. Misschien moeten we Joomla! maar wat minder gemakkelijk maken...

Wat ik probeer te doen tijdens een presentatie over de veiligheid is uitleggen aan de mensen waarom het belangrijk is en wat men kan doen om hun website veiliger te maken. Ook hamer ik op wat men kan doen wanneer men gehackt is en hoe de Joomla! werkgroepen opereren. Dit alles om de mensen beter te laten begrijpen hoe men zijn sexy Joomla! website beter kan beveiligen tegen onveilig vrijen.

Dit artikel is oorspronkelijk in het Engels gepubliceerd op jFoobar.org onder de titel 'Joomla! Security and unsafe Sex' en is geschreven door Wilco Jansen. Wilco Jansen woont in Nederland en is een voormalig Joomla! Core Member, Development coördinator en board member van OSM (Open Source Matters).

Dit artikel is vertaald in het kader van de veiligheidsmaand op JoomlaCommunity. Binnenkort volgen er meer artikelen op het gebied van veiligheid. Dus stay tuned!

© Copyright 2008