sslug-teknik team mailing list archive

[Jacob Sparre Andersen <sparre@xxxxxx>]

David Bo Jensen skrev:

> Ja, jeg har ingen problemer med at installere et CMS for mig selv.
> Men ærlig talt kan jeg ikke selv gennemskue, om det CMS jeg vælger er
> sikkert.

Hvis det genererer statiske sider (som for eksempel Microsofts gamle -
iøvrigt ikke rosværdige - webdesignprogram), så er det sandsynligvis
meget sikkert.

Hvad angår on-line-CMS'er, så er der en tendens til at systemerne ikke
er specielt sikre.

En grov tommelfingerregel er at mængden af fejl i et program er
proportionalt med antallet af linjer i kildeteksten.  Hvis du bruger den
som udgangspunkt, så er det rimeligt at antage det CMS der består af
færrest linjer kildetekst (og lever op til dine behov) må være det
sikreste.

En anden tilgangsvinkel er at se på hvor mange (sikkerheds)fejl der
allerede er fundet i de CMS'er du overvejer.  Som en første tilnærmelse
vil jeg mene at dem der er fundet færre fejl i kan tænkes at være
sikrere end dem der er fundet mange fejl i.  (Her har jeg ignoreret
problemet med hvor mange der er om at lede efter fejlene.  Hvis du
vælger et sjældent brugt CMS, så er det ikke nødvendigvis fordi der ikke
er fejl i det, at de ikke er rapporteret.)

> Hvis min site bliver hacket, hvordan finder jeg så ud af, hvordan det
> er sket?

 + Du sørger for at køre med logning til en anden maskine.

 + Du sørger for at CMS'et kører med begrænsede rettigheder.

 + Du overvåger løbende hvilke filer der bliver ændret i (specielt alle
   dem der ikke skal ændres).

> Hvad gør professionelle?
> Logger de alt netværkstrafik ned til mindste bit og i hvor lang tid?

Det har jeg ikke hørt om nogen der gør.

God fornøjelse,

Jacob
-- 
»In Ada you model the problem space, not the solution space.«
                                                     -- Robert I. Eachus