The Joomla! Forum ™

Was soll mir das sagen?

1. Apache läuft! Joomla1.0.4 localhost, Testumgebung auf meinem PC.
2. Um Neuerungen zu testen, Community Builder 1.0 RC 2 frisch installiert.
3. Aus Gewohnheit nach Installation auf -> Configuration geklickt. Fenster ging auf, das es auf joomlapolis gehen will. Ebenfalls aus Gewohnheit "Nein" geklickt. (Was soll man da auch zulassen? Mein zuhause, mein PC, mein Apache! Das meins, nicht seins!)
4. Nichts im Backend mehr möglich. Als nächstes Apache abgestürzt.
5. Firewall sagt, "Application Hijacking", Security "Critical"
6. Skype wurde ebenfalls gekillt!

Im Anhang mal mein Screenshot aus Firewall-Programm!
Nochmal: Hier gehts nicht um: "Klick auf Versionsprüfung!" Lediglich auf Config geklickt! Es sollte doch wohl meine Entscheidung sein, was ich zulasse oder nicht!
Kann man schon bald CMT Entwicklern nicht mehr trauen?!

Gruss
K.

PS: Um es zu verifizieren, habe ich es 3mal! getestet. Es passierte immer das gleiche! Absturz!
PPS: Software die nach Hause telefonieren will, wird mal grundsätzlich von mir abgelehnt! Aber das diese dann meine ganze Arbeitsumgebung killt, ist .... !

_________________
Swiss Translation Team http://www.joomla.ch
Support bei Joomla User Group Berlin http://www.jug-berlin.de

in der tat spioniert der cb. ausser der versionsnummer wird auch die $mosConfig_live_site mitgesendet. zu sehen in admin.comprofiler.html.php ab zeile 2723. dort wird per constructor die Snoopy.class.php aufgerufen, die das ganze paket zusammenschnürt.

abhilfe: den mist nicht installieren oder zeile 2725 in admin.comprofiler.html.php per ftp-editor auskommentieren (die $mosConfig_live_site), und zwar direkt nach der installation vor dem aufrufen des cb in der admin. wers nicht braucht, kann natürlich auch die ganze updatefunktion ab zeile 2718 auskommentieren (das ende des auskommentierens kann ich nicht 100 % sagen, da ich das nicht installiert hab), ein findiger kopf wird das sicher herausfinden.

übrigens, als serveradmina solltest du eigentlich damit umgehen können.

meine frage auf joomlapolis.com: http://www.joomlapolis.com/component/op ... 5/catid,4/ <-- leider mit registration.

_________________
 
http://www.joomla-support.de | http://www.joomlers.de
irc-server: irc.freenode.net
channel: #joomlachat.de
port: 6667

Sehr schade eigentlich. Ich habe CB bisher als sehr interessante Sache gesehen und auch genutzt. War dieses Verhalten evtl. auch schon in RC1 zu sehen? RC2 habe ich noch nicht installiert und werde sicherlich die von amarok beschriebenen Auskommentierungen nutzen.

Bin auch mal sehr auf die Antwort auf joomlapolis gespannt...

Heiko

_________________
Deutschsprachige Joomla!-FAQ: faq.joomla.de

so was ist natürlich bedauerlich. Ich wollte die Komponente auch auf einer Website einsetzen und werde mir das jetzt nochmal überlegen.



Wer auf Betriebssysteme von Microsoft setzt, sollte wohl niemandem trauen, wenn es darum geht keine Daten preiszugeben. Bei Open Source Software hat man ja wenigstens noch die Möglichkeit in den Code zu schauen und zu sehen was gemacht wird.

_________________
RG
Torlaune.de - Fußball Videos Blog
SEO-Expert-Blog.com - SEO, Development, Internet Marketing

Die Möglichkeit da rein zu schauen und das rauszufinden ist aber auch rein theoretischer Natur. Hast du mal versucht ohne dich über Wochen einarbeiten zu müssen, in den Quellen von Open office oder MySQL etwas zu finden? Die Dinger sind mit Sicherheit nicht schlecht strukturiert, aber die Projekte sind so groß, das da doch kein Aussenstehender durchsteigt.

_________________
god doesn't play dice with the universe. not after that drunken night with the devil where he lost classical mechanics in a game of craps.

Since the creation of the Internet, the Earth's rotation has been fueled, primarily, by the collective spinning of English teachers in their graves.

Wenn beispielsweise bei der Installation von PHP5 ohne das Wissen des Benutzers Daten irgendwohin übertragen werden würden, wäre das nicht lange ein Geheimnis. So wie ja auch Sicherheitslücken irgendwann entdeckt werden. Bei den meisten Windows-Anwendungen, die ich bisher so installiert habe, kam am Ende immer "Registrieren Sie sich Online...". Den Anwendungen dürfte man ja dann auch nicht vertrauen, von WinXP selbst mal ganz zu schweigen. Über Reverse Engineering erstmal eine Vorstellung zu bekommen was mein Closed Source Programm so macht ist schon wesentlich komplizierter als beispielsweise mit grep nach bestimmten Strings im Offenen Code zu suchen.

_________________
RG
Torlaune.de - Fußball Videos Blog
SEO-Expert-Blog.com - SEO, Development, Internet Marketing

Gibt es hierzu eigentlich etwas neues, bzw. eine Stellungnahme der Programmierer?

Heiko

_________________
Deutschsprachige Joomla!-FAQ: faq.joomla.de

Nope, jedenfalls nicht auf amaroks Frage in deren Forum... finde ich ehrlich gesagt etwas merkwürdig

Beste Grüße

was nun?

Moin.



Soweit ich mich mit dem Code der RC1 beschaeftigt habe, nein.
In der RC1 war auch noch kein UpdateChecker enthalten.

Btw, wenn man den "automatischen Aufruf" des UpdateChecker beim Anklicken der Konfig der RC2 vermeiden will, dann sollte man auch
die Zeile 1733 in admin.comprofiler.html.php ausmaskieren. Wenn der User auf Updates ueberpruefen will sollte man ihm den Zeitpunkt
selbst ueberlassen koennen. Btw, der update_checker() wird auch beim Aufruf der TeamCredits ausgefuehrt.

Gruss
Phil.

_________________
--
http://www.kolloczek.com

Bitte Hysterie hier stoppen.

Die Version-Check ist ein Service für den Site-Admin, nichts anderes.

CB sendet *keine* private Informationen mit der Versions-Anfrage ab, macht nur ein standard-HTP-Request.

Der Community Builder Team hat NUR ein standard Version check als Service für die Admins in RC2 integriert.

Weil CB eine Sicherheits-Kritische Komponente ist, haben wir uns entschieden diesen Version-Check in der Configurations-Anzeige zu integrieren, und die aktuelle CB Version in der Anfrage zu integrieren so dass eine angepasste Antwort (z.B. spezielles warning bei einem Security-Problem, bis jetzt zum Glück nie geschehen) mit der Aktuellen Versions-Nummer zurückgeschickt werden kann.

Teil eines korrekten Standard-HTTP Requests ist der "referrer" (in diesem Fall der mod_config_live_site).

Dieser Vesion-Check-Request wird nur für den Site Admin im Backend wenn die globale CB Konfiguration angeschaut wird gemacht. Andere Komponenten und Joomla selber auch gewährleisten sollche Services.

Nichts anderes, und auch nichts mehr als das !

Falls ihr Rechner oder Firewall diesen Request nicht ablehnt sondern storniert ist die Komponente natürlich trotzdem Konfigurierbar. In diesem Fall ist der TCP-Timeout system-abhängend um 15-40 Sekunden. Ueber weitere Abstürze haben wir bis jetzt noch nie gehört, und haben nichts mit CB zu tun (vieleicht mit Ihrer Firewall und/oder Server).

Der Titel dieser Thread ist vollkommen falsch und für uns sehr beleidigend für eine Funktion die die meisten Benützer einer Sicherheits-Kritischen Komponente sehr schätzen.

Moderator: höfflichst bitte Thread Titel wechseln in "Version check service" oder etwas korrektes.

MfG,

_________________
Beat
www.joomlapolis.com <= Community Builder + CBSubs Joomla membership payment system - team
hosting.joomlapolis.com <= Joomla! Hosting, by the CB Team

hallo Beat,

ein versions-check ist ja eine praktische funktion, aber ich möchte, wie Phil_K schon meinte, selbst entscheiden, wann ich diesen check mache. das klappt bei anderen cmt's auch wunderbar. und was ich nicht verstehe, daß die live-url mit übertragen wird, das ist doch völlig unnötig. und diese live-url betrachte ich als private information, da kannst du mir kein x vor ein u machen.

wir leben im zeitalter der transparenz, über uns bürger werden noch so unscheinbare daten gesammelt, aber das muß doch nicht auch noch in den open source bereich vordringen. ich jedenfalls habe ein ungutes gefühl dabei und lehne dieses vorgehen ab.

gruss

christian

_________________
 
http://www.joomla-support.de | http://www.joomlers.de
irc-server: irc.freenode.net
channel: #joomlachat.de
port: 6667

Dann schreib es in den offiziellen Bugtracker. Ist in der Tat von dir etwas übertrieben geschildert. Man könnte denken, dass es sich wirklich um ein gewolltes Sicherheitsloch handeln könnte. Dem ist definitiv nicht so.

@ Christian,

Meine Original-Antwort auf Ihr double-posting ist hier:

http://www.joomlapolis.com/component/option,com_joomlaboard/Itemid,38%3E/func,view/catid,4/id,3959/#3959

Eine kurze übersetzung davon hier:

Um mit der selbstverständlichen Transparenz vollständig auf die Zumutungen zu antworten:

1. Wie schon gesagt: JoomlaPolis und CB wolten gar keine Informationen durch den Version-Check sammeln und haben auch keine gesammelt !

2. Die referierende URL (in diesem Fall Site URL aka mos_config_liveSite) ist Teil des Standard bei HTTP Requests, und bei allen Browsern implementiert. Um eine Reibungslose durchführung eines HTTP-Requests durchzuführen muss dieser so Standard wie möglich sein, und dies ist vollständiger Teil davon.

Ich verstehe nicht wie diese Publike Information als Privat angesehen werden kann, da diese in DNS Servern publik ist.

Die Ausschaltung des Versions-Check ist ein Feature-Request, das in den CB-Features-Request-Tracker gerne registriert werden kann.

Die Fehlermeldung vom Firewall ist klar eine falsche Positive, und deren Text genau so falsch wie die Titel dieser Thread.

Mit freundlichen Grüssen,
Beat

_________________
Beat
www.joomlapolis.com <= Community Builder + CBSubs Joomla membership payment system - team
hosting.joomlapolis.com <= Joomla! Hosting, by the CB Team

natürlich geht es um datensicherheit. und wenn es darum geht, meine persönlichen daten (dazu gehört auch die live-site) zu schützen, versuche ich zu vermeiden, diese daten jemandem auszuliefern, der meiner meinung nach nicht befugt ist, diese daten zu sammeln. was ist daran übertrieben? evtl sollte man die lizenz des cb mit dem passus erweitern, daß man zustimmt, daß die live-site übertragen wird, dann hats hand und fuß. aber nicht auf diese art und weise. ich habe den eindruck, daß hier auf scheinheilige art und weise versucht wird, etwas herunterzuspielen.

der cb-e ist übrigens frei von solchen fragwürdigen features, es geht auch ohne.

_________________
 
http://www.joomla-support.de | http://www.joomlers.de
irc-server: irc.freenode.net
channel: #joomlachat.de
port: 6667

Dazu eine Anmerkung, mit Verlaub, von diesbezüglich professioneller Seite:

Richtig, der Referrer eines HTTP-Requests ist Standard.

Aber
Fall a) eine URL als Referrer ist teil einer öffentlichen Information
Fall b) eine URL PLUS die Information "Website (Inhaber/Registrant) benutzt Software XY" ist eine nach Bundesdatenschutzgesetz (BDSG) "private Information" die ohne Zustimmung weder erhoben noch gespeichert werden darf.

Sobald bei Joomlapolis ein HTTP-Request des CB eintrifft ist der Fall b) erfüllt! Konkludent.

Um einen Vergleich aufzuzeigen:
Fall a) Vorname, Name, Anschrift einer Person ist eine öffentliche Information
Fall b) Vorname, Name, Anschrift einer Person PLUS die Information "Adressat benutzt NIVEA-Creme" ist eine nach Bundesdatenschutzgesetz (BDSG) "private Information" die ohne zustimmung werder erhoben noch gespeichert werden darf.

Anmerkung zu derlei Sachverhalten:
In den gängigen Browsern sind u.a. eine Menge "Toolbars" installierbar, die eben mit HTTP-Request auf diese Weise auch Daten sammeln und speichern - man denke sich z.B. einen Fall wie ALEXA integriert auf 30 Rechnern eines Firmen-Netzwerkes. Konkludent verfügt also der Empfänger der HTTP-Request über die Information, dass die betroffene Firma über 30 Rechner mit dem Browser X mit der Toolbar Y verfügt - was bereits wieder eine nach BDSG geschützte Information ist.

Wenn Ihre Firma, sehr geehrter Beat, diese Funktion in dieser Art aufrechterhalten will, können Sie sich durch eine Einwilligungserklärung der Nutzer Ihrer Software absichern - rechtliche Dissonanzen würden damit nicht mehr bestehen. Dies könnte durch Nutzungsbedingungen geschehen - ein Hinweis allein im Quellcode ist dafür nicht zulässig.

Sollte sich eine Firma mit rechtlichen Gegebenheiten hinsichtliche des Datenschutzes ausserhalb der eigenen Staatsgrenzen nicht ausreichend auskennen, so wäre dringend anzuraten rechtliche Beratung für derartige Distributionen zu konsultieren oder die Distribution auf den eigenen rechtssicheren Bereich zu beschränken.

Die allgemeinen rechtlichen Bedingungen bezüglich eines abonnierten Services (darunter ist eine ständige Update-Überprüfung klar und deutlich mit eingeschlossen!) führen darüberhinaus zu weiteren Problematiken, die dieser Fall völlig ungeklärt lässt. Zur Umgehung dieser Problematik wiederum muss dem Nutzer überlassen werden, ein solches Feature bei Installation/Nutzung selbst auszuwählen UND auch wieder abzuwählen - ansonsten sollte eine manuelle Update-Überprüfung als die, sowohl rechtlich als auch anwenderfreundlich, richtige Lösung gelten.

Abschließend möchte ich gerne noch bemerken, dass es sich bei derlei Sachverhalt durchaus NICHT um eine Meinungssache handelt, sondern um gesetzlich klar und verständlich geregelte Sache.

Hochachtungsvoll,

Stefan Fuerderer


P.S.: gerne freue ich mich um Ergänzungen bezüglich der rechtlichen Sachverhalte in Einzelpunkten/Sachverhalten

_________________
Bitte Feedback zu meinen Lösungs-Posts. Danke.
---------------------------------------------------------------------
Veranstaltungsportal mit Joomla: http://www.events-community.com
Meine Visitenkarte: http://www.openbc.com/hp/Stefan_Fuerderer/

Sehr geehrter Stefan,

Obwohl meine Muttersprache weder Deutsch und noch weniger Rechts-Deutsch ist: besten Dank für Ihren sehr interessanten Deutschs-Rechts-Beitrag.

So wie Sie das sicher beim Posten als warning gesehen haben, ist dies eine alte Thread, die feed-backs auf die erste Implementation einer unter-Entwicklung RC "release-candidate" 2 gegeben hat.

Diese Community-Feedbacks wurden inzwischen hochachtungsvoll berücksichtigt, und sind schon seit einigen Monaten in CB 1.0 stable integriert, hauptsätzlich mit:

1) ein/ausschaltbarer Versions-Check (im CB Configuration, mit automatischen oder manuellen Versions-Checks)
2) asynchroner Version-Check so das allfällige Timeouts nicht stören
3) anmerkungen im mitgelieferten README file, ohne welchen Instruktionen die Installation gar nicht möglich ist, sowohl wie auch im Description Text für diesen Parameter.

Somit sind Ihre sicherlich (nach Deutschen und höchstmöglicherweise einigen anderen Rechten) rechtgefertigte Sorgen beantwortet.

Da CB eine kritische Sicherheits-Relevante Software ist, wird der Version-Check von 99.99% Site-Admins sehr geschätzt.

Für mich ist deshalb dieses interessante Thema abgeschlossen.

Im übrigen, zu Ihrer Kenntniss, ist CB keine Firma, sondern ein Open-Source Projekt das von einem internationalem Team von begeisterten Volounteers kostenlos und unbezahlt während ihrer Freizeit entwickelt und gepflegt wird, in der hoffnung, und mit dem einzigen Reward, dass es anderen auch nützlich ist.

Nochmals Besten Dank für ihre sehr gut geschriebene und klare Rechts-Meinung. Falls Sie im CB-3PD-Team für allfällige Rechtsfragen im Vorfeld volounteer mithelfen möchten, können Sie mir gerne eine PM, email oder Post hinterlassen.

Ebenfalls Hochachtungsvoll, mit freundlichen Grüssen,

_________________
Beat
www.joomlapolis.com <= Community Builder + CBSubs Joomla membership payment system - team
hosting.joomlapolis.com <= Joomla! Hosting, by the CB Team