De omgekeerde wereld

Hoe jagen we extensie ontwikkelaars weg uit de JED

Normaal is het zo dat extensie ontwikkelaars alle moeite willen doen om in de JED (Joomla Extensions Directory) te komen om hun extensie te promoten. Ik maakte de afgelopen week het omgekeerde mee. Een extensie ontwikkelaar deed alle moeite om uit de JED te komen. Hoe heeft het zover kunnen komen?

Een extensie die wij ook in de download sectie aanbieden werd genoemd als mogelijk verdacht in een massa test op verdachte code door een bekend figuur in de Joomla wereld.

In het verleden had ik een goed contact met de bouwer van de extensie. Hij kwam heel plezierig over en was blij met opmerkingen over verbeteringen van de extensie. Hij vertelde toen dat de meeste mensen alleen maar met commentaar kwamen op zijn extensie, zonder de handleiding goed te lezen. Hij was blij met mijn opmerkingen, omdat deze met een duidelijke omschrijving kwamen die de oplossing soms al bevatte.

Ik verwachtte dan ook dat de extensie snel aangepast zou worden en wachtte met het bijwerken van de vertaling van een nieuwe versie daarom nog even. Enige tijd later was er nog steeds geen nieuwe versie beschikbaar en heb ik de bouwer maar eens een mailtje gestuurd. Hij was verbaasd over mijn mailtje en zei dat hij van niets wist en of ik kon vertellen hoe hij in contact kon komen met de rapporteur, zodat hij kon achterhalen wat de gevonden problemen waren.

Ik heb vervolgens de rapporteur een mailtje gestuurd met de opmerking dat de bouwer van niets wist en of hij contact wilde opnemen met de bouwer. Hierop kreeg ik als antwoord een mail met de gevonden gebreken en de mededeling dat de JED en VEL (Vulnerable Extensions List) teams dit hadden geplaatst, waarschijnlijk zonder de bouwers te informeren.

Na contact met de bouwer bleek dat alleen ik deze opmerkingen had gekregen, hijzelf wist volgens de (naar mijn mening) normale kanalen nog van niets. De bouwer heeft vervolgens de aanpassingen binnen enkele uren gedaan (een nieuwe release aangemaakt) en na enige moeite zijn extensie uit de JED laten verwijderen. Het niet melden van de verdachte code was voor hem niet de enige reden om zijn extensie van de JED te verwijderen, maar wel de druppel.

Waarom mij dit (niet) verbaasd

Het verbaast mij dat er een extensie (en daarmee de bouwer) openlijk wordt aangeklaagd, zonder dat de bouwer het zelf weet.
Nog meer verbaasd ben ik dat een extensie wordt genoemd, zonder de bouwer eerst de gelegenheid te geven aanpassingen te doen, zodat alles weer veilig wordt.
Nog meer verbaasd ben ik dat sommigen mij, als gebruiker van die extensie, dus opzadelen met een veiligheidsrisico op mijn site, omdat de fout algemeen bekend wordt.
Het verbaast mij dat de ontdekker van de verdachte code, na mijn verzoek aan hem, de bouwer niet op de hoogte heeft gesteld van deze fouten.
Het verbaast mij dat de lijst met mogelijke vulnerables nog steeds bestaat en dat een van de teamleden die zelfs in zijn handtekening heeft staan.
Het verbaast mij niet dat de bouwer zijn extensie direct aangepast heeft.
Het verbaast mij niet dat de bouwer zijn extensie van de JED heeft laten verwijderen, hoewel dat het omgekeerde is wat veel extensie bouwers willen.

Hoe nu verder

• Verspreid geen namen van extensies die een volgens jou verdachte code bevat, rapporteer het eerst aan de bouwer en vervolgens pas bij Joomla.org.
• Gebruik opensource software zodat verdachte code makkelijker opgespoord kan worden.
• Niet schieten op de verkondiger van het bericht.
• Niet schieten op de bouwer van de extensie.
• Maak binnen joomla.org een procesflow hoe om te gaan met verdachte extensies.
• Extensies die veiligheidsrisico's bevatten moeten geweerd worden uit de JED.
• Bouwers moeten echter ook de gelegenheid krijgen om fouten in hun code te herstellen. Zij moeten daarom daarover geïnformeerd worden en de gelegenheid krijgen aanpassingen te doen. Als dat na een redelijke tijd verzuimd wordt moet de extensie uit de JED verwijderd worden en kan de extensie in de VEL genoemd worden.
• Verwijder de lijst met verdachte extensies van internet.
• Er zijn bijna geen links naar toe, maar toch: Hij bestaat nog steeds.
• Zorg dat je regelmatig een donatie doet aan de bouwer van extensies die je gebruikt en nuttig vindt.

English translation and comments : All together as a whole

Reacties (5)

0

#1

allrude vr 17 sept 2010, 18:23

Prima Artikel Martijn helemaal mee eens

0

#2

tonie vr 17 sept 2010, 19:05

Heb je bij de moderators van JED deze vraag ook gesteld?

De procedure was altijd dat als een security issue gevonden was, de extensie in JED onzichtbaar gemaakt werd en de developer per e-mail op de hoogte gesteld werd. Als de developer vervolgens zijn extensie gefixed had, werd de extensie weer zichtbaar gemaakt.

De bedoeling van VEL is een lijst met bewezen veiligheidslekk en, niet met extensies waar er alleen verdenkingen zijn. Het Ik vind dat een lijst met niet-veilige extensies wel zichtbaar gemaakt moet worden, hoe kunnen mensen anders zien dat een extensie niet veilig is?

Er valt ongelofelijk veel te verbeteren aan het proces, maar dat moet beginnen met een manier om updates van JED rechtstreeks op je site te kunnen installeren. Alle andere processen zijn slechts omwegen die nergens toe zullen leiden.

Ook zou het handig zijn als er developers zijn die veiligheidselek ken van anderen na kunnen trekken, nu is hier niemand voor aanwezig.

0

#3

MartijnM vr 17 sept 2010, 20:14

Waar het om gaat is een onderzoek van Brian Teeman (zie engels commentaar op All together as a whole). En hoe daar mee omgegaan wordt (niet dus).
Dit betekent dat er een lijst is met heel veel (meer dan 100) extensies die verdacht zijn en waar ontwikkelaars niets vanaf weten.
Deze lijst staat op joomla.org. Er wordt niet echt naar gelinked, maar is wel via google te vinden.
Deze lijst zou naar de ontwikkelaars moeten worden gecommuniceerd en uiteindelijk in de JED en VEL moeten worden verwerkt.

0

#4

tonie za 18 sept 2010, 16:12

Ah, die lijst. Wist niet dat hij op docs.joomla.org stond en had een paar dagen niet op ATAAW gekeken. In het licht van die informatie ben ik het met je eens. Of plaats die lijst niet, of doe er wat aan.

Ideaal gezien komt er een team bij, of wordt het huidige VEL team (wat niet echt een team te noemen is) uitgebreid. De JED editors hebben genoeg te doen en hoeven in principe geen developer te zijn om hun taak uit te voeren.

Behalve de punten die jij beschrijft zou je ook kunnen denken aan het maken van een lijst met coding guidelines/veel gemaakte security fouten, bijvoorbeeld in de trend van: docs.joomla.org/Secure_coding_guidelines

Bij veiligheidslekk en die in het wild te vinden zijn, dient een extensie direct van JED verwijderd dient te worden (en natuurlijk de developer waarschuwen. Als dit niet het geval is natuurlijk een developer de tijd geven om het te fixen.

Als toetje op de taart zou het wenselijk zijn dat gebruikers van een extensie te horen krijgen als er een nieuwe versie, omdat er een security issue is.

0

#5

brian za 18 sept 2010, 18:56

Can I point out that I did not publish that list. It is not the list that I gave to the JEd and VEL teams. The report was given to those teams (at their request) and once I gave it to them I had no control over what they would do with it, although I had expected them to follow existing procedures as Tonie highlited above.

Plaats reactie

Om een reactie te kunnen plaatsen op dit artikel zul je moeten inloggen aan de rechterzijde van deze pagina. Als je nog geen account hebt kun je er gratis een aanmaken waarna je een reactie kunt plaatsen.