Neues aus dem OSM Board

Artikel schreiben

OSM steht als Abkürzung für Opensource Matters. Das ist der Verein rund um das Joomla! Projekt. Es vertritt als juristische Person die Interessen des Projekts. Der Vorstand dieses Vereins nennt sich «OSM Board of Directors». Diese treffen sich so ca. alle 14 Tage und besprechen die Dinge aus den verschiedenen Abteilungen (Departemente) des Joomla! Projekts.

Am Ende der Sitzung wird vom Sekretär eine Zusammenfassung in Form eines Protokolls (Meeting Notices) abgefasst und auf dem Volunteers-Portal veröffentlicht.

Das Protokoll ist immer in der gleichen Struktur abgefasst:

  • Teilnehmer (anwesende und entschuldigte)
  • Inforunde aus den verschiedenen Abteilungen
  • Anträge und Beschlüsse

Häufig sind in diesen Protokollen, nebst dem konventionellen Tagesgeschäft auch immer wieder mal Themen drin, die von Interesse sein könnten.

Anhand eines Beispiels des aktuellen Protokolls aus der Sitzung vom 07. Mai 2020 zeige ich dir, was es alles an Themen zu besprechen gegeben hat. Ich habe aber nur einige davon herausgepickt, die aus meiner Sicht von Interesse waren:

Der Zug für das Marketing zur 4.1 ist abgefahren

Im Forum for the Future wurde wieder eine neue Marketing-Truppe zusammengestellt. Seither ist es wieder sehr ruhig um sie geworden. Das hat nun auch das Produktionsteam bemängelt und ist nicht länger bereit, auf Vorschläge und Antworten vom Marketingteam für die Version 4.1 zu warten. Sie bemühen sich jetzt selber um die Erstellung einer Zielgruppendefinition und anderen Marketingaufgaben. Der Zug für 4.1 sei jetzt abgefahren. Wenn es um die Diskussion zur 4.2 Version geht, sei man wieder für Vorschläge und Gespräche mit dem Marketingteam offen.

Untersuchung warum ein GitHub Repo gelöscht wurde

Weil auf GitHub ein komplettes Projekt gelöscht wurde, hat man diesen Fall untersucht. Das Privacy-Framework war ein Bestandteil, der dann mit Joomla! 3.9 in den Core ausgerollt wurde. Darin enthalten waren alle die DSGVO-relevanten Funktionen, die Joomla! 3.9. bekommen hat.

In einem ersten Schritt hat man die Admin-Zugänge gesperrt, von allen Personen die aufgrund ihrer aktuellen Rolle und Mitarbeit, diesen nicht mehr benötigen. Zudem stellte man fest, dass eine Wiederherstellung des Verzeichnisses nicht der Mühe wert ist.

Werbung



Security Audit ergab gewisse Schwachstellen

So wie es in jeder grösseren Firma eigentlich an der Tagesordnung ist, ist es auch beim Joomla!-Projekt zu einem Sicherheits-Audit gekommen. Dabei werden die Prozesse, Abläufe, Infrastruktur und Software auf ihre Schwachstellen hin überprüft.

Dem OSM Vorstand wurde nun ein Bericht vom Webmasterteam vorgelegt, indem die verschieden Schwachstellen dokumentiert sind sowie Vorschläge an Sofortmassnahmen die gemacht werden sollten. Das Audit fand bei einem Portal folgende Punkte:

JRD von einer möglichen Datenpanne betroffen

Das Joomla Resources Directory, kurz: JRD ist von einer möglichen Datenpanne betroffen. Das Verzeichnis beherbergt einige hundert gelistete Agenturen und Spezialisten die mit Joomla! arbeiten. Beim Audit des Verzeichnisses wurden folgende Punkte bemängelt:

  • Es wurde eine schwerwiegende Datenverletzung festgestellt: Organisatorische Daten werden an nicht autorisierten Orten gespeichert. 
  • Unerlaubter Dienst, der die verwendeten Daten möglicherweise verarbeiten kann.
  • Backups werden nicht verschlüsselt.
  • Personen von ausserhalb des Teams oder sogar von ausserhalb der Organisation haben administrativen Zugriff auf die Website.

Aufgrund einer Misskonfiguration des Backup-Systems wurden die Backup-Dateien an den falschen Ort kopiert. Dadurch besteht die Möglichkeit, dass eine unbekannte Person oder Firma in den Besitz dieser Backups gekommen ist. Darin enthalten sind alle Datenbanken und Verzeichnisse, die für einen Klon/Restore der Seite mit seinem gesamten Inhalt erforderlich sind. Da die Backups unverschlüsselt waren, können sie von Drittpersonen jederzeit verwendet und wiederhergestellt werden.

Aus dieser Erkenntnis wurden zwei Sofortmassnahmen beschlossen:

  •  Das betroffene Team wird als Ganzes auf «inoffiziell» herabgestuft.
  •  Alle Zugänge zu Websites und Daten dieses Teams werden gesperrt.
  • Das Webmasterteam zusammen mit dem JSST Team werden die Seite wieder instand stellen.

Dem Board ist es bewusst, dass es sich hierbei um eine sehr harte Massnahme handelt. Aber in Anbetracht der Tragweite sei der Schritt dennoch angebracht Zurzeit wird der Fall genauer untersucht. Im Anschluss soll auch ein Bericht über die gewonnenen Erkenntnisse veröffentlicht werden.

Solltest du selber ein Konto beim JRD haben, empfehle ich dir jetzt schon mal das Passwort zu erneuern. Prüfe auch, ob du das dort verwendete Passwort allenfalls bei anderen Accounts verwendest. Dann bitte auch gleich alle anderen Konten mit einem neuen Passwort versehen. Für alle Fälle. 

Soweit ganz grob zusammengefasst, was im Meeting besprochen wurde. Wie du siehst, kommt an einer solchen Sitzung schon einiges zusammen.

Findest du solche Infos spannend? Findest du, ich sollte hier mehr solche Protokolle übersetzen? Dann schreib mir gerne unten in die Kommentare, ob dich sowas interessiert.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on pinterest
Pinterest
Share on whatsapp
WhatsApp
Share on email
Email

Das könnte dich auch interessieren...

Joomla! Wahlen Elections

Das Joomla!-Projekt ist im Wahlmodus

Wärst du in der Lage, einem an Joomla! Interessierten zu erklären, wie das Joomla! Projekt organisiert ist und wie es seine Verantwortlichen wählt?
Nicht? Dann hilft dir vielleicht dieser Artikel.

Weiterlesen »
Joomla Zukunfts Resultate

Resultate vom Joomla! Zukunfts-Forum

Rund 50 ausgewählte Personen haben die letzten drei Tage über Joomla’s Zukunft diskutiert und nach Lösungen zu verschiedenen Themen gesucht. Was ändert und was bleibt wird sich in den kommenden Wochen zeigen.

Weiterlesen »
Joomla! Forum Konferenz in Malaga

Joomla! Zukunfts-Forum, wie weiter?

Vom 16. Januar bis 19. Januar findet in Malaga, Spanien eine Konferenz zur Zukunft des Joomla! Projekts statt. Rund 50 exklusiv ausgesuchte Joomlers sind eingeladen, an der Konferenz teilzunehmen.

Weiterlesen »

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

?
Diese Website verwendet Cookies und Google Analytics​. GA Tracking abschaltenGA Tracking erlauben.
×

Willkommen zurück, wir haben dich vermisst

Bitte anmelden, um alle Inhalte werbefrei lesen zu können.

Registrieren | Passwort vergessen?