Ich kann auch nicht nachvollziehen, dass automatisch etwas aktiviert ist, das kaum ein Projekt nutzt. Da wäre andersrum der Sichere Weg.
Vielleicht sollten da die Security Verantwortlichen nochmals drüber nachdenken. Projekte mit API-Nutzung werden sicher von Personen betreut, die wissen, welche Plugins angestellt werden müssen. Die können diese dann anstellen. Die anderen, die diese Plugins nicht brauchen, müssten aber nichts extra deaktivieren.
Also ich habe Projekte, da brauche ich keine Artikel, nutze die Module nicht und im Backend gehe ich nur für die Userverwaltung. Ich glaube, du wärst nicht sehr glücklich, wenn alles deaktiviert werden würde was ich nicht brauche...
Ein CMS ist nicht daür da, nicht genutzt zu werden...
Das war nicht meine Aussage.
Es ist gut, dass joomla für viele Einsatzzwecke tauglich ist. Gut wäre aber, wenn es für den Standardeinsatzzweck möglichst sicher eingestellt ist, damit auch Einsteiger eine sichere Umgebung haben.
Da deine oben genannten Einsatzzwecke tiefere Kenntnis benötigen, kannst du dann die notwendigen Einstellungen machen.
Mir geht's darum, die nicht so versierten Anwender möglichst sicher arbeiten zu lassen.
Ohne dieden Thread würden bei mir weiter plugins laufen, die ich nicht brauche. Und da ich glaube, dass dies bei vielen Anwendern so ist, war mein Apell, in der Standardinstallation nur die Funktionalitäten zu aktivieren, die der Standardnutzer auch benötigt.
Es sollte Konfigurations-Pakete /Einstellungen geben, die einzelne Plugins zusammenfassen und bei Bedarf aktivieren oder deaktivieren. Optional müssen aber alle Plugins auch einzeln bedient werden können.
Es ist doch mittlerweile normal, dass es in Anwendungen z.B. Sicherheitsstufen gibt, die ich auswählen kann und einzelne Features dann zusammengefasst ein- oder ausgeschaltet werden.
Könnte z.B. so aussehen:
API-Einstellungen (aus /normal /mittel /hoch)
Naja ihr wisst was ich meine.
Es ist gut, dass joomla für viele Einsatzzwecke tauglich ist. Gut wäre aber, wenn es für den Standardeinsatzzweck möglichst sicher eingestellt ist, damit auch Einsteiger eine sichere Umgebung haben.
Ok, dann weniger flapsig formuliert: Plugins aktiv zu haben, macht Joomla! per se nicht unsicher und es würde nur eine theoretische Sicherheit vorgaugeln, die so nicht vorhanden ist. Klar kann es, wie in diesem Fall, immer mal vorkommen, dass eine Sicherheitslücke nicht zuschlägt, wenn man zufällig gerade Feature X deaktiviert hatte oder speziell behandelt hat, aber pauschal in "sichere" und "wenig sichere" Funktionen zu gruppieren ist nicht möglich. Die schlimmste Lücke, die Joomla! je hatte konnte man nicht durch das Deaktivieren von irgendwas umgehen (außer der kompletten Frontendformulare, wenn überhaupt möglich).
Self-Hosted nicht-statische Webseiten sind nicht mehr wie vor 10 Jahren für den 08/15 Hobby-Anwender zu empfehlen, das ist mittlerweile so komplex und auch die Angreifer so gut strukturiert, dass man Einsteigern ohne Vorwissen nur davon abraten kann.
Und ja, es macht durchaus Sinn alles in Joomla! zu deaktivieren was man nicht benötigt (u.a. auch aus performancegründen), aber das reicht noch lange nicht um in irgendeiner Form "Sicherheit" zu haben, dazu gehört ein sauberes Backup-/Update-Konzept, guter Hoster, gute htaccess-Einstellungen und das ist nur die Spitze des Eisberges...deshalb wie oben gesagt irgendwelche "willkürlichen" Sachen ber Default zu deaktivieren um Sicherheit zu promoten ist nicht der richtige Weg.
PS: vielleicht gibt es ja in Zukunft eine App für Joomla um z.b. Artikel zu managen, die würde von Anfängern genutzt werden und wird wahrscheinlich aber auch die API voraussetzen.
Dann etwas anders formuliert.
Warum wird in der Grundeinstellung soviel aktiviert, was wahrscheinlich ein Großteil der Anwender noch nicht braucht.
Der Nutzer der App würde dann in den System Bedingungen erklärt bekommen, dass er folgende ..... Einstellungen, Bedingungen bei Joomla benötigt. Die stellt er dann selber oder von einem Berechtigten ein.
Flapsig ausgedrückt: Ich fahre nicht schon jetzt mit einem Wasserstofftank durch die Gegend weil vielleicht in Zukunft das der Treibstoff ist. Achtung bewusste Übertreibung.
Ich finde weniger ist eben manchmal mehr. Und wer dann noch mehr braucht, der beschäftigt sich damit, wie er es erreicht.
Ist halt ein anderer Blick auf die Sache.
