Magento vil tilbageholde sikkerhedsrettelser fra open source-koden i to uger

Illustration:
Open source-kode giver bedre mulighed for at finde potentielle sikkerhedsbrister for både venligtsindede og ondsindede programmører, anfører e-commerce-giganten Magento.

Fremover vil Magento tilbageholde offentliggørelsen af sikkerhedsrettelser til open source-koden bag e-commerce-platformen i to uger.

Tanken er, at brugere af produktet på den måde har to ugers forspring til at installere rettelserne til sårbare udgaver af produktet, før eventuelle angribere får nys om, hvor sårbarheder ligger henne.

Open-source koden bag den udbredte e-commerce-platform modtager bidrag fra mere end 415.000 programmerende medlemmer.

Disse bidrag giver selskaber, såvel som Magento selv, mulighed for at forbedre platformen. Men at lade softwaren være open source kan også have indflydelse på sikkerheden.

Det fortæller John Stockton, seniordirektør for produkter hos Magento, som Version2 har snakket med.

»Man kan argumentere for, at open source er mere eller mindre sikker end traditionel software, og jeg tror, at man i den sammenhæng kan påpege, at open source faktisk er mere sikker, fordi det gennemgår så meget kontrol fra brugernes side,« siger John Stockton.

Læs også: Efter adskillige angreb mod webshops erkender Magento: »Ingen platform kan blive 100 pct. sikker«

Med open source-software får brugere – og andre – mulighed for selv at lede efter sikkerhedsbrister og andre potentielle svagheder i koden.

I den sammenhæng håber John Stockton på, at dusører for at finde sikkerhedsbrister kan skabe incitament blandt brugerne til at rapportere kompromitterende fejl til Magento i stedet for at sælge informationen videre til svindlere.

»Brugen af open source-software betyder, at der er en større chance for, at brugere finder og identificerer sikkerhedsmæssige svagheder ved softwaren. Det samme gør sig gældende for dusørkonceptet Bug Bounty Program (Magentos program for udbetaling af findeløn i forhold til sikkerhedsrettelser, red.),« siger John Stockton.

Forspring til butiksejere

Et af de sikkerhedsmæssige problemer for Magento har været, når virksomheder har kørt deres hjemmeside på uddaterede versioner af Magento.

En af grundene til, at dette har været et problem, er, at de nyeste sikkerhedsopdateringer til softwaren er open source. På den måde bliver offentligheden informeret om, hvad de aktuelle sikkerhedsopdateringer har rettet op på.

Dette har ondsindede aktører kunnet bruge som ledetråde til at finde sikkerhedsbrister i gamle versioner af softwaren.

»Det er altid en udfordring, når du fikser et problem, og du så kommunikerer ud til folk, hvad det er, du har fikset. Det kan give hackere et fingerpeg i forhold til, hvad de skal lede efter, hvis de finder en hjemmeside, der kører på en gammel udgave af softwaren,« siger John Stockton.

Og derfor har Magento nu valgt at give e-butiksejerne et forspring på to uger til at installere disse opdateringer, før rettelserne bliver gjort offentligt tilgængelige i open source-koden.

»De to uger er ikke en omfattende forsinkelse, men det giver kunden mulighed for at installere opdateringer, før open source-koden publiceres,« siger John Stockton.

Læs også: Alvorlig sårbarhed rammer 300.000 netbutikker: Kan bruges til at stjæle eller slette hele databaser

Han påpeger i den forbindelse, at det fortsat er vigtigt at opdatere sin hjemmeside, så snart man får mulighed for det.

»Der er folk, der bygger en hjemmeside via Magento, og betragter det som et engangsprojekt, hvor du ikke behøver gøre mere ved hjemmesiden, så snart du har bygget den færdig,« siger John Stockton.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Sune Marcher

Det er en dårlig idé.

Umiddelbart lyder argumentationen fornuftig, men hvis angribere har adgang til en binær distribution, har de mulighed for at finde ud af hvad der kan exploites.

Ja, det er en del nemmere at se ud fra Git commits, men bindiffing har været en ting i mange år.

  • 2
  • 0
Arne Jørgensen

Umiddelbart lyder argumentationen fornuftig, men hvis angribere har adgang til en binær distribution, har de mulighed for at finde ud af hvad der kan exploites.

Ja, det er en del nemmere at se ud fra Git commits, men bindiffing har været en ting i mange år.

Læg dertil at Magento er kodet i PHP så du har end ikke brug for en binær diff.

Jeg undres også over hvordan man sikrer at man kan holde denne forhåndsdistribution på betroede hænder?

  • 4
  • 0
Simon Mikkelsen

Det lyder som om man favoriserer de betalende kunder over dem som bruger open source versionen. Ikke kun i forhold til nye features men også til sikkerhed.

Reelt kan man have kendte exploits der bliver udnyttet og man ligger inde med et fiks - men kører man den forkerte version må man ikke få den.

Naturligvis vil virksomheder gerne have god tid til at teste og implementere sikkerhedsrettelser, men det går så stærkt idag at man er nød til at kunen gøre det meget hurtigt. Har man en expliot der bliver udnyttet hjælper det ikke at patchen ikke er offentligt kendt i 14 dage. Man kan lige så godt se at få sine procedurer på plads.

Dette vil være et skridt tilbage.

  • 5
  • 0
Victoria Hansen

Som jeg ser det, er problemet at det er for svært at opdatere.

Jeg har selv set, og hørt om en del store sites, som har været tvunget til at lave udviklinger i coren af systemet, uden for moduler, fordi systemet ikke er flexibelt nok, og i takt med at disse udviklinger bliver større og mere komplicerede bliver det mere kompliceret og tidskrævende at gennemføre opdateringer, det bliver pludselig en reel udviklingsopgave at lave en opdatering.

Og derfor er der mange store magento baserede sites, der er på den når der kommer kritiske opdateringer, hvis opdateringer da i det heletaget bliver prioriteret fordi det er så dyrt.

Og det er ikke kun magento, det virker til at være en sygdom der i høj grad rammer shop-systemer.

  • 0
  • 0
Log ind eller Opret konto for at kommentere