OWASP Top 10

  • Hallo zusammen,

    kennt ihr das? Man bekommt eine Anfrage für eine Website und in der späteren Kommunikation schaltet sich ein Experte aus dem Bekanntenkreis des Auftraggebers ein, der diverse Standards fordert. In der Regel ist das alles bekanntes Zeug (Responsive Layout, Ladezeiten, Cross Browser Kompatibilität, OnSite-SEO etc.) Heute warf jemand das Stichwort OWASP Top 10 aus dem Off in den Ring.

    https://owasp.org/www-project-top-ten/

    Kann mir jemand dazu etwas sagen? Was muss ich tun und beachten, um diese 10 Empfehlungen für eine neue Joomla-Website zu berücksichtigen?

    Ist das bei euch Standard und habe ich eine Entwicklung verpennt?

    Thanx for help

    Antonella

  • Es ist eine Liste von bekanten Sicherheitsproblemen, über die bei unsachgemäßer Programmierung Schadcode in ein System eingeschleust werden kann.


    Bei Joomla ist der Code ist nach allem Regeln der Kunst programmiert und wird ständig nach Sicherheitslücken durchforstet. Wenn du die release Protokolle anschaust wirst du sehen, dass ständig jedes noch so winzige securityrelevante Fitzelchen nachjustiert wird.


    Für dich relevant sind 2 Punkte:


    6) Für die Konfiguration deiner Seite bist du selbst verantwortlich.

    Für das Absichern der Seite gibt es immer wieder Tutorials, eins davon hier: https://wicked-software.de/joo…absichern-eine-todo-liste. Hier hast du die Verantwortung, aber das weisst du vermutlich schon lange.


    9) Wenn du Erweiterungen einsetzt, dann solltest du sicher sein, nur gute und sauber programmierte Erweiterungen zu verwenden.

  • Diese Liste ist doch nur eine Liste mit allgemeinen Kriterien. Joomla kommt monatlich mit Updates daher, auch, um eben diese Punkte "save" zu halten. Joomla hat ein aufmerksames "Sicherheits-Team".


    Bezüglich ggf. schlecht programmierter Erweiterungen, die man zuinstalliert oder selbst schreibt oder nicht updatet oder ... , oder Passwwörter der 1234-Klasse kann Joomla nicht viel tun. Ich erlebe es regelmäßig, dass ich sichere Kennworte vergebe und Passwort-Safes empfehle, auf 2-FA hinweise etc. 1 Woche später haben viele Kunden auch die Providerzugänge wieder auf 1234 geändert oder meckern über Verzeichnisschutz des Backends, machen keine Updates, keine Backups und heben keine auf usw. usf. Tauschen Kennworte über WhatsApp aus (kein Scherz)...


    Kurz: Punkt 11 dieses OWASP fehlt: Der Kunde....


    Dein Job paar Zeilen an Kunden dazu zu schreiben, wenn du das Joomla übergibst. Und halt Erweiterungen so sparsam als möglich halten.


    EDIT: Oh, zu spät ;-) Die Chefin war schneller...