Door: Hans van der Meer.Categorie: Algemeen.

Joomla was op het CMS Security Summit

30 Januari 2019 - Het is ijskoud in Chicago en volgens het nieuws is het er nog kouder dan op de Mount Everest. Dus het is een perfecte dag om voor je scherm in een lekker warm gebouw te zijn bij een summit!

Het Joomla Security Strike Team (JSST) was uitgenodigd om een delegatie te sturen naar het CMS Security Summit, door Google georganiseerd, dat in Chicago plaatsvond. De JSST leiders David Jardin en Tobias Zulauf hebben van die uitnodiging gebruik gemaakt en zijn naar Illinois gereisd om verschillende security team leiders van andere CMS-en, webhosts en natuurlijk een aantal Google medewerkers van verschillende projecten te ontmoeten.

security summit google

Het persoonlijk de mensen van andere CMS-en ontmoeten (WordPress, TYPO3 en Drupal) en andere spelers uit ons ecosysteem (zoals de teamleider van Symfony) is een enorm waardevolle ervaring voor Joomla. Het werken in de IT-beveiliging is op vele manieren gebaseerd vertrouwen, dus het ontmoeten van deze veiligheidsprofessionals en het beginnen met persoonlijke relaties en het bouwen van dit vertrouwen zal extreem nuttig zijn in de toekomst wanneer er communicatie tussen de verschillende CMS-en zal plaatsvinden.

security summit google

Naast deze tamelijk vanzelfsprekende resultaten zijn er ook verschillende concrete problemen geïdentificeerd die voor iedereen effect hebben en waar samenwerking tussen de verschillende projecten gunstig zal zijn.

  • Het filteren van veiligheidsproblemen op serverniveau in samenwerking met webhosts
  • Het maken van Content Security Policy (CSP) vriendelijke projecten om XSS aanvallen te voorkomen
  • Het implementeren van de nieuwste veiligheidsopties die in de browsers zitten zoals Feature policy die specifieke functies in de browser uitschakelt waarvan je website geen gebruik van maakt
  • Het gebruiken van SameSite cookies
  • Het starten van een initiatief voor de benodigdheden van een veilige auto-update functie
  • Het vooruithelpen van industriebrede standaarden zoals PSR-9 (Security Advisories) en PRS-10 (Security Reporting Process)
  • Het bekijken van het TrustedTypes voorstel wat ook XSS aanvallen helpt voorkomen

In het geheel was dit een geweldig evenement en een heel goed startpunt om betere beveiliging te bieden en om een betere samenwerken in het beveiligen van het web binnen de industrie te krijgen.

Google wordt bedankt voor de uitnodiging en de perfecte organisatie als ook de andere aanwezigen voor dit geweldige evenement met vele mooie en positieve discussies. We kijken nu vooruit naar meer van dit soort evenementen en de samenwerking in de industrie dat voor al onze gebruikers een voordeel zal zijn.

Origineel artikel