Paket-Servern von Drittanbietern im Rahmen von (optionalen) Paketen
In den vergangenen Jahren konnten wir eine steigende Anzahl an Problemen in Kombination mit Paket-Servern von Dritten beobachten, beschränkt auf Pakete, die im Plugin-Store angeboten werden.
Im Interesse unserer Kunden haben wir uns dazu entschlossen, ab sofort keine neuen Pakete oder Updates mehr freizuschalten, die direkt oder indirekt (etwa über optionale Pakete) die Installation von Paket-Servern von Drittanbietern vornehmen. Dies betrifft ausdrücklich nur Pakete im Plugin-Store, technisch erfolgt keine Änderung im Core, es ist weiterhin möglich, Paket-Server über Pakete von Drittseiten bzw. manuell anzulegen.
Wir möchten dabei im Sinne der Transparenz die wichtigsten Gründe für unsere Entscheidung nachfolgend darlegen.
Fehlende Notwendigkeit bei Produkten aus dem Plugin-Store
Für Erweiterungen und Stile aus dem Plugin-Store besteht keine Notwendigkeit zur Installation von Paket-Servern von Drittanbietern, denn alle Updates werden, sobald diese geprüft wurden, direkt vom Plugin-Store ausgeliefert.
Auslieferung von ungeprüften Updates
Einige Drittanbieter geben Updates für Pakete bei Verfügbarkeit direkt frei und warten die Prüfung im Plugin-Store nicht ab. Dies ist problematisch, da die abschließende Prüfung jedes neuen Paketes und jedes Updates manuell durch einen Mitarbeiter der WoltLab GmbH erfolgt.
Im Durchschnitt wird jedes Dritte Update auf Grund von relevanten Mängeln im ersten Anlauf abgelehnt. Die vorzeitige Auslieferung über Paket-Server von Drittanbietern unterläuft diese Prüfung, die der Vermeidung von Sicherheits- und Stabilitätsproblemen dient.
Kollision mit kommerziell angebotenen Produkten
Ein Sonderfall stellt die vorzeitige Freigabe von Updates dar, bei dem das Produkt sowohl im Plugin-Store als auch vom Dritthersteller direkt angeboten wird. Dies kann zu Konflikten führen, wenn für den Paket-Server des Drittanbieters keine Zugangsdaten hinterlegt wurden und somit Updates angeboten werden, bevor diese im Plugin-Store verfügbar sind.
Sicherheitsbedenken bei ungeprüften Paketen und Updates
Die Stärke des Paket-Systems ist gleichzeitig einer der größten Schwachstellen, denn Erweiterungen können nahezu beliebige Änderungen durchführen, bis hin zur Ausführung von sicherheitskritischem Schadcode. Dies wird dadurch erschwert, dass Paket-Server für nahezu beliebige Pakete Updates zum Download anbieten können, die einzige Ausnahme stellen unsere Produkte dar, die ausschließlich über die offiziellen Paket-Server ausgeliefert werden können.
Leider Häufen sich Vorfälle, in denen die Websites von Drittanbietern zum Ziel von Angriffen werden, dabei gab es sowohl Übernahmen auf DNS-Ebene, d.h. die Domains zeigten auf einen fremden Server, als auch die direkte Kompromittierung der Server-Systeme. Dies bedeutet auch, dass ein Angreifer dadurch die Kontrolle über die Paket-Server dieser Anbieter erhält und diese missbrauchen kann, um Schadcode nahezu unbemerkt ausliefern zu können. Ein Blick über den Tellerrand verrät, dass dies keinesfalls ein fiktives Szenario ist, sondern beispielsweise bei NPM oder diversen Linux-Distributionen immer wieder versucht wird oftmals nur durch hohen Schutzaufwand verhindert werden konnten.
Kompatibilität mit der WoltLab Cloud
Wir werden in Kürze damit beginnen, Erweiterungen und Stile im Plugin-Store auf die Kompatibilität mit der WoltLab Cloud zu prüfen. Einträge, die diese Prüfung bestehen, werden von uns mit einer Markierung versehen, eine Art „Negativ-Markierung“ ist aktuell nicht vorgesehen.
Die Kriterien für die Ermittlung der Kompatibilität lauten wie folgt:
- Kompatibilität mit der WoltLab Suite 5.2.
- Ausgehende HTTP(S)-Verbindungen laufen konsequent über die HTTPRequest-Klasse oder berücksichtigen die Proxy-Konfiguration korrekt.
- Keine ausgehenden Verbindungen zu abweichenden TCP- oder UDP-Ports.
- Kein Massenversand von E-Mails.
- Keine Überschneidung mit Privilegien die im Rahmen eines Managed Betriebs unter Vorbehalt stehen, beispielsweise eine direkte Datenbankverwaltung.
- Pakete, die Paket-Server von Drittanbietern installieren, sind grundsätzlich ausgeschlossen.
Diese Kriterien werden von der großen Masse an Paketen bereits erfüllt, daher sind keine signifikanten Einschränkungen zu erwarten.