Hallo,
gab es wirklich seit der Version 6.2.3.0 keine Sicherheitsrelevanten Updates?
Sicherheitsupdates
Re: Sicherheitsupdates
achso, du meinst weil nichts in der Historie steht.
Wir haben mal einen bösen Bug gehabt, dazu gibt es die -SP1. Alle anderen Bugs/Änderungen erhöhen zwar die Sicherheit, waren idr. aber nie so relevant, das dafür eigene Versionen erscheinen mußten.
Die Härtung der Ein- und Übergabegabeparameter, oder das Auslagern von JS ist sicherlich sicherheitsrelevant, aber kein Sicherheitspatch.
Bei den meisten Pen-Tests von denen ich weiß, kam nicht viel raus. Bei den Vorlagen steuert das ja auch jeder selbst. Bei den Tags und dem Backend waren es meist nur marginale Beanstandungen.
Wir haben mal einen bösen Bug gehabt, dazu gibt es die -SP1. Alle anderen Bugs/Änderungen erhöhen zwar die Sicherheit, waren idr. aber nie so relevant, das dafür eigene Versionen erscheinen mußten.
Die Härtung der Ein- und Übergabegabeparameter, oder das Auslagern von JS ist sicherlich sicherheitsrelevant, aber kein Sicherheitspatch.
Bei den meisten Pen-Tests von denen ich weiß, kam nicht viel raus. Bei den Vorlagen steuert das ja auch jeder selbst. Bei den Tags und dem Backend waren es meist nur marginale Beanstandungen.
webEdition-Kern-Entwickler
Re: Sicherheitsupdates
Der Hintergrund ist, daß der Kunde deswegen nicht aktualisieren möchte.
Re: Sicherheitsupdates
hmm, also wir haben die Sicherheit definitiv mit den neuen Versionen erhöht. Das betrifft ja auch sowas wie X-Site-Scripting etc.
Da gibt es aber keine Software, die hierfür ein "Sicherheitsupdate" herausgibt, wenn die Lücke nicht aktiv genutzt wurde. Selbst wenn jetzt etwas in 6.2.7 gefunden würde, würden wir hier kein Sicherheitsupdate mehr machen, da die Version nicht mehr aktiv von uns unterstützt wird. Ich denke das sollte man dem Kunden in der Richtung auch mal klar machen. Win95 wäre nach seiner Argumentation ja nun auch endlich sicher (da es keinen Support mehr gibt).
Da gibt es aber keine Software, die hierfür ein "Sicherheitsupdate" herausgibt, wenn die Lücke nicht aktiv genutzt wurde. Selbst wenn jetzt etwas in 6.2.7 gefunden würde, würden wir hier kein Sicherheitsupdate mehr machen, da die Version nicht mehr aktiv von uns unterstützt wird. Ich denke das sollte man dem Kunden in der Richtung auch mal klar machen. Win95 wäre nach seiner Argumentation ja nun auch endlich sicher (da es keinen Support mehr gibt).
webEdition-Kern-Entwickler
Re: Sicherheitsupdates
Ja, das Argument hat mir gefehlt. Danke
Wer ist online?
Mitglieder in diesem Forum: Ahrefs [Bot] und 1 Gast