Magento vil tilbageholde sikkerhedsrettelser fra open source-koden i to uger

5. november 2019 kl. 05:035
Open source-kode giver bedre mulighed for at finde potentielle sikkerhedsbrister for både venligtsindede og ondsindede programmører, anfører e-commerce-giganten Magento.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Fremover vil Magento tilbageholde offentliggørelsen af sikkerhedsrettelser til open source-koden bag e-commerce-platformen i to uger.

Tanken er, at brugere af produktet på den måde har to ugers forspring til at installere rettelserne til sårbare udgaver af produktet, før eventuelle angribere får nys om, hvor sårbarheder ligger henne.

Open-source koden bag den udbredte e-commerce-platform modtager bidrag fra mere end 415.000 programmerende medlemmer.

Disse bidrag giver selskaber, såvel som Magento selv, mulighed for at forbedre platformen. Men at lade softwaren være open source kan også have indflydelse på sikkerheden.

Artiklen fortsætter efter annoncen

Det fortæller John Stockton, seniordirektør for produkter hos Magento, som Version2 har snakket med.

»Man kan argumentere for, at open source er mere eller mindre sikker end traditionel software, og jeg tror, at man i den sammenhæng kan påpege, at open source faktisk er mere sikker, fordi det gennemgår så meget kontrol fra brugernes side,« siger John Stockton.

Med open source-software får brugere – og andre – mulighed for selv at lede efter sikkerhedsbrister og andre potentielle svagheder i koden.

I den sammenhæng håber John Stockton på, at dusører for at finde sikkerhedsbrister kan skabe incitament blandt brugerne til at rapportere kompromitterende fejl til Magento i stedet for at sælge informationen videre til svindlere.

»Brugen af open source-software betyder, at der er en større chance for, at brugere finder og identificerer sikkerhedsmæssige svagheder ved softwaren. Det samme gør sig gældende for dusørkonceptet Bug Bounty Program (Magentos program for udbetaling af findeløn i forhold til sikkerhedsrettelser, red.),« siger John Stockton.

Forspring til butiksejere

Et af de sikkerhedsmæssige problemer for Magento har været, når virksomheder har kørt deres hjemmeside på uddaterede versioner af Magento.

En af grundene til, at dette har været et problem, er, at de nyeste sikkerhedsopdateringer til softwaren er open source. På den måde bliver offentligheden informeret om, hvad de aktuelle sikkerhedsopdateringer har rettet op på.

Dette har ondsindede aktører kunnet bruge som ledetråde til at finde sikkerhedsbrister i gamle versioner af softwaren.

»Det er altid en udfordring, når du fikser et problem, og du så kommunikerer ud til folk, hvad det er, du har fikset. Det kan give hackere et fingerpeg i forhold til, hvad de skal lede efter, hvis de finder en hjemmeside, der kører på en gammel udgave af softwaren,« siger John Stockton.

Og derfor har Magento nu valgt at give e-butiksejerne et forspring på to uger til at installere disse opdateringer, før rettelserne bliver gjort offentligt tilgængelige i open source-koden.

»De to uger er ikke en omfattende forsinkelse, men det giver kunden mulighed for at installere opdateringer, før open source-koden publiceres,« siger John Stockton.

Han påpeger i den forbindelse, at det fortsat er vigtigt at opdatere sin hjemmeside, så snart man får mulighed for det.

»Der er folk, der bygger en hjemmeside via Magento, og betragter det som et engangsprojekt, hvor du ikke behøver gøre mere ved hjemmesiden, så snart du har bygget den færdig,« siger John Stockton.

5 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
5
5. november 2019 kl. 12:57

Hvis jeg brugte open source Magento ville jeg skynde mig at finde en anden løsning!

4
5. november 2019 kl. 12:17

Som jeg ser det, er problemet at det er for svært at opdatere.

Jeg har selv set, og hørt om en del store sites, som har været tvunget til at lave udviklinger i coren af systemet, uden for moduler, fordi systemet ikke er flexibelt nok, og i takt med at disse udviklinger bliver større og mere komplicerede bliver det mere kompliceret og tidskrævende at gennemføre opdateringer, det bliver pludselig en reel udviklingsopgave at lave en opdatering.

Og derfor er der mange store magento baserede sites, der er på den når der kommer kritiske opdateringer, hvis opdateringer da i det heletaget bliver prioriteret fordi det er så dyrt.

Og det er ikke kun magento, det virker til at være en sygdom der i høj grad rammer shop-systemer.

3
5. november 2019 kl. 11:17

Det lyder som om man favoriserer de betalende kunder over dem som bruger open source versionen. Ikke kun i forhold til nye features men også til sikkerhed.

Reelt kan man have kendte exploits der bliver udnyttet og man ligger inde med et fiks - men kører man den forkerte version må man ikke få den.

Naturligvis vil virksomheder gerne have god tid til at teste og implementere sikkerhedsrettelser, men det går så stærkt idag at man er nød til at kunen gøre det meget hurtigt. Har man en expliot der bliver udnyttet hjælper det ikke at patchen ikke er offentligt kendt i 14 dage. Man kan lige så godt se at få sine procedurer på plads.

Dette vil være et skridt tilbage.

2
5. november 2019 kl. 11:17

Umiddelbart lyder argumentationen fornuftig, men hvis angribere har adgang til en binær distribution, har de mulighed for at finde ud af hvad der kan exploites.</p>
<p>Ja, det er en del nemmere at se ud fra Git commits, men bindiffing har været en ting i mange år.

Læg dertil at Magento er kodet i PHP så du har end ikke brug for en binær diff.

Jeg undres også over hvordan man sikrer at man kan holde denne forhåndsdistribution på betroede hænder?

1
5. november 2019 kl. 11:05

Det er en dårlig idé.

Umiddelbart lyder argumentationen fornuftig, men hvis angribere har adgang til en binær distribution, har de mulighed for at finde ud af hvad der kan exploites.

Ja, det er en del nemmere at se ud fra Git commits, men bindiffing har været en ting i mange år.