Plugin/Theme Sicherheit

Moin @ all

 

was mich mal interessiert ist, werden die Plugins & Theme von Drittanbietern, eigentlich auf Schadcode geprüft ?

 

Es gibt ja aktuell bei Magento folgendes Problem: https://www.heise.de/security/meldung/Magento-Tausende-Online-Shops-greifen-heimlich-Kreditkarten-Informationen-ab-4155752.html

Und was hat das genau mit den Themes zu tun?

Zitat as dem Artikel:

Laut de Groot nutzen die unbekannten Angreifer für ihre Attacken meist keine Sicherheitslücken in der Software, sondern versuchen mit Gewalt die Passwörter der Admin-Konten der Shops zu knacken. Mit anderen Worten: Sie verwenden automatische Skripte, die immer wieder verschiedene Nutzernamen/Passwort-Kombinationen ausprobieren, oft monatelang.

Matt 

Magento war nur ein Beispiel.

 

Im Theme könnte man doch Bad-Code ( nach Hause telefonieren ), plazieren, oder nicht ?

Könnte man. Ich vermute auch, dass da automatische Tests laufen. Sicher sagen kann ich es aber nicht. 

Matt

Also vertrauen gegenüber den Herstellern :wink:

 

Mhh,

könnte vielleicht mal ins Auge gehen.

Gab es schon. 2017 (?) ist hier im Forum ein Anbieter aufgeflogen, dessen BugIns munter nach Hause telefoniert haben. Das waren BugIns aus dem store.

Gibt natürlich einige automatisierte Prüfungen, die auch stetig erweitert werden (bspw. die Verwendung von POST und GET Globals). Auch werden die Plugins nochmal grob manuell geprüft, wenn die zum ersten Mal in den Store kommen. Schwierig wirds natürlich bei Javascripten die von externen Quellen geladen werden - das ist ja häufig bei irgendwelchen Siegeln usw. der Fall, also alles was nicht mit dem Plugin selbst ausgeliefert wird. Das kann man natürlich schwierig überwachen - also klar, ein Stückweit ist man bei sowas auch immer auf den Anbieter angewiesen.

Ich denke aber auch, dass das Thema quelloffene Plugins da nochmal zur Qualitätsoffensive beitragen wird.