Skip to main content

Mit einem Klick mehr über uns erfahren

TYPO3 4.5 Supportverlängerung im Pagemachine Blog

Extended support agreement TYPO3 CMS 4.5 – ein moderner Ablassbrief?

Ablassbriefe waren im Mittelalter ein probates Mittel der katholischen Kirche, die eigenen Kassen zu füllen und den Gläubigen zu vermitteln, sie seien vor dem Fegefeuer sicher. In der modernen Welt zahlt man Geld und bekommt dafür die Sicherheit, nicht gehackt zu werden. Doch ist es wirklich so einfach?

 


 

Wir haben bereits früher über die Pläne zur kostenpflichtigen Verlängerung des Supports für TYPO3 CMS 4.5 geschrieben. Viele Fragen zur Umsetzung waren da noch offen, doch jetzt liegt die Vertragsgrundlage für den extended Support vor, nachzulesen unter http://typo3.org/support/45-lts-support-plans/terms-conditions/.

Zunächst das Positive: der Vertrag ist überschaubar – das findet man selten – insofern steckt die Tücke hier nicht im Kleingedruckten, sondern offenbart sich dem Leser in aller Klarheit. Wir haben zwei Punkte herausgegriffen, die exemplarisch für die Unausgereiftheit der Support-Idee stehen:

„The customer commits to not disclosing and/or exploiting issues known by having access to the private repository.“

Sinnvoll: Der Kunde verpflichtet sich dazu, Sicherheitslücken, die ihm durch den Zugang zum Repository bekannt werden, nicht weiter zu verbreiten oder gar zu nutzen. Das ist gut gemeint, denn ein Hacker könnte natürlich exakt ermitteln, welche Codeänderungen vorgenommen wurden, und daraus ableiten, welche Lücke bei den 99,99% nicht upgedateten TYPO3 4.5 Sites besteht.

Aber: halten sich Hacker an solche Vereinbarungen? Und sind Hacker überhaupt direkte Kunden der TYPO3 Association? Man hätte hier eine Regelung hinzufügen können, dass Reseller dieser Security Updates (man denke hier an Hoster) auch ihre Kunden wiederum darauf verpflichten müssen, die Sicherheitslücken nicht weiter zu verbreiten oder zu nutzen – aber wie gesagt – in der Praxis greift eine solche Regelung sowieso nicht, dem Hacker ist sie schlicht egal.

Kommen wir zum nächsten Punkt:

„Security issues that have been reported or fixed in the currently maintained TYPO3 CMS versions (6.2 and 7) will be backported towards TYPO3 CMS 4.5 and made available in the private repository.“

Auf den ersten Blick beruhigend: alle Sicherheitslücken, die bei den aktuellen Versionen 6.2 und 7 gefunden werden, werden auch in 4.5 geschlossen. Auf den zweiten Blick tun sich Abgründe auf: was ist mit Sicherheitslücken, die in 6.2 und 7 gar nicht auftauchen, weil sie sich in Codebereichen befinden, die es in 6.2 oder 7 gar nicht mehr gibt? Die Schnittmenge im Code zwischen 4.5 und 6.2 ist dank 5 Jahren Abstand begrenzt – aber nur auf diese bezieht sich das Sicherheitsversprechen!

Es ist also zu befürchten, dass  sich die Seitenbetreiber dank 4.5 Extended LTS in trügerischer Sicherheit wähnen, während nur ein Bruchteil der Sicherheitslücken geschlossen wird. Und dafür zahlen sie noch eine Menge Geld.  Eben irgendwie wie früher – bei den Ablassbriefen…

Was denkt Ihr darüber? Welche Fragen kommen Euch in den Sinn. Über Kommentare freuen wir uns.


Mehr Infos:

3 Gedanken zu „Extended support agreement TYPO3 CMS 4.5 – ein moderner Ablassbrief?

  1. Hallo Stefan!

    Danke dass Du Dich offensichtlich um TYPO3 sorgst.
    Ich kann Dich jedoch beruhigen. Es gibt weder Pläne noch Maßnahmen, um den TYPO3 Source Code nur noch gegen Bezahlung herauszugeben. ELTS in dieser Hinsicht zu deuten, kann ich (abgesehen von deiner Sorge) nur verstehen als (mehr oder minder absichtlicher) Streuung von Unsicherheit und Angst. Letzteres hilft weder dir/euch noch TYPO3. Überdenkt solche Äußerungen in Zukunft doch bitte und tretet ggf. mit TYPO3 Team Mitgliedern in Kontakt, um in einem persönlichen Gespräch Unklarheiten ausräumen zu können. Wir sind nämlich alle offen für Anregungen und sind jeder Zeit zu einer sachlichen Diskussion bereit.

    Ich empfehle außerdem meine Kommentare unterhalb der ELTS Ankündigung zu lesen und dann für euch mal die dort gestellte Frage zu beantworten:
    Was wäre für TYPO3 gewonnen, wenn wir das ELTS Programm nicht ins Leben gerufen hätten? Ich antworte mal auch noch hier: nichts.
    Es gäbe eine Option weniger (für Agenturen die das Geld ausgeben möchten) und wir hätten weniger Geld für die Verbesserung un Weiterentwicklung von TYPO3, welche wir natürlich wie gewohnt GPL lizenisert allen zur Verfügung stellen.

    A pro pos falsche Annahmen:

    ## Wie kommst Du darauf, dass nur in 7 oder 6.2 gefundene Sicherheitlücken in dem ELTS Zweig gefixed werden?

    Die Behebung und Veröffentlichung der letzten Sicherheitslücke sollte gezeigt haben wie verantwortungsvoll wir im TYPO3 Security Team mit bekanntgewordenen Sicherheitslücken umgehen. ELTS ist ein ein SLA und damit eine Dienstleistung. Als Dienstleister tritt die TYPO3 Association auf, organisiert und umgesetzt wird es von TYPO3 Team Mitgliedern. Das ändert jedoch nichts an der Tatsache, dass die Verantwortung für Security Fixes beim TYPO3 Security Team liegt. Wir bekommen die Meldungen, wir kooridinieren die Behebung und Veröffentlichung. Wir entscheiden darüber wie kritisch diese sind und in welchen Branches diese folglich gefixed werden müssen.

    Wie bei der jüngsten kritischen Lücke in 4.3 bis 4.5 haben wir Patches und Patch-Skripte für Versionen bereitgestellt, die seit Jahren aus dem Support gelaufen sind.

    An dieser Strategie ändert sich *NICHTS*

    Deiner Vorstellung von Sicherheit liegen anscheinend auch diverse falsche Annahmen zugrunde.

    ## Verhindern der Veröffentlichung von genaueren Informationen über eine Sicherheitslücke (z.B. der Fix selbst) erzeugt mehr Sicherheit

    Das ist grundsätzlich falsch. Verschleierung gilt explizit als *NICHT* sicher. Von daher ist die Annahme dass wir das ELTS Repo aus Verschleierungsgründen nicht veröffentlichen schlicht Humbug.

    ## Die ELTS Dienstleistung sei ein Sicherheitsversprechen

    Das ist fast schon fahrlässige Verbreitung von Falschinformation. Im Ankündungstext selbst steht schon, dass ein Update einer 4.5 schon alleine deswegen empfehlenswert ist, weil in der 6.2 Sicherheitsproblem behoben werden konnten, die in der 4.5 weiter bestehen (müssen). Von versprochener Sicherheit kann alleine deswegen keine Rede sein.
    Darüber hinaus ist Sicherheit kein Produkt das (käuflich) erworben werden kann. Es ist ein Prozess durch den man graduelle Sicherheit für eine konkretes Objekt erreichen möchte. Für diesen Prozess ist *IMMER* der Inhaber/Betreiber des Objekts zuständig, nie ein Lieferant/ Dienstleister.
    In sofern ist ein ELTS SLA unmöglich als Versprechen zu verstehen sondern als angebotene Dienstleistung die evtl. in einen Prozess integriert wird um ein gewisses Maß an Sicherheit zu erreichen.

    Kurz:

    Ich finde es respektlos den TYPO3 Entwicklern gegenüber und unverantwortlich der TYPO3 Community gegenüber mit Halbwissen und daraus reslutierenden Unwahrheiten ein Problem zu beklagen dass es nicht gibt. Das dient allemals dem eigenen Ego oder den Klickraten auf die Posts aber weder dem Produkt noch dem Projekt. Es widerspricht genaugenommen dem Code of Conduct und hat mit dem Motto „Inspiring People to Share“ auch wenig zu tun.

    In diesem Sinne freue ich mich auf zukünftig sachliche Diskussionen mit dir und mit euch.

    1. Hallo Helmut,

      ich danke Dir sehr für Deinen Kommentar und die Erläuterung Deiner Sichtweise. Unser Blog gibt nicht vor, eine neutrale Informationsquelle zu sein, sondern spiegelt die subjektive Meinung seiner Autoren wieder, und natürlich stellen wir manche Dinge pointiert da und treten damit dem einen oder anderen auf die Füße, ohne dass dies der eigentliche Zweck der Beiträge ist. Insofern möchte ich Deinen Beitrag unkommentiert stehen lassen, auch wenn es mich wirklich in den Fingern juckt, insbesondere wenn man gerade völlig zu unrecht Respektlosigkeit vorgeworfen bekommen hat…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.