web-dev-qa-db-ja.com

Wikiの記事が示唆しているように、Ploneには本当にセキュリティホールがありませんか?

このwiki記事(章)によると:

http://en.wikipedia.org/wiki/Plone_(software)#Focus_on_Security

2010年以降、単一の脆弱性はありません。

enter image description here

これは本当ですか?Ploneは(比較されるCMSの中で)最も安全ですか?

1
Derfder

脆弱性は、ユーザーまたは自分で名前を付けようとしている調査済みのセキュリティによって発見されます。検出されたユーザー/脆弱性の数の間の相関関係は、方程式全体の一部にすぎません。ほとんどの脆弱性は、セキュリティの専門家またはハッカーによって発見されています。彼らにとってWordPressは最も有利な「賞」であり、数字を説明できます。

これが意味することは:

A.これらの統計に対する即時の反応にもかかわらず、WPは見た目よりも安全です。発見された脆弱性には多くの場合パッチが適用されるためです。

B.悪意のあるハッカーは使用するエクスプロイトを公表しません。少なくとも「楽しみ」はありません。たとえば、最近のPleskの脆弱性は6月に発表されましたが、ここIncapsulaでは2月からそのような攻撃をブロックしています。 (一般的な規則による)この点で、Ploneは見た目よりもはるかに安全性が低いかもしれません...

C.注目を集めている人気のあるCMSを使用している場合、新たに発見された脆弱性を自動化して「釣り上げる」多くの人がいるため、常に最新の状態に保つ必要があります。ここでの良い例はTimThumbです。 2011年に発見されたと思いますが、まだ多くのTimThumスキャナーがネット上をローミングしていることがわかります。新しいターゲットを発見し続けるので、それを続けていると推測できます。

1
Igal Zeifman

確認できる唯一のことは、この種のソフトウェアには脆弱性がないことです。 CMSは、たとえ単純であっても、複雑すぎて、問題、バグ、弱点がないことはありません。

リンクしたリストから実際に読むことができるのは、脆弱性が報告されていないということです。これは、何もないという意味ではありません。 CMSの人気が高いほど、攻撃の頻度が高くなると考えられます。しかし、攻撃とはセキュリティホールを発見することを意味するため、CMSの人気は発見されたバグの数と相関します。

0
wssbck

一般的に:何かを見たり見つけたりできないことは、それが存在しないことを意味しません。

マイケルが答えで言ったように、もちろん人気は大きな要因です。これは、CMS自体に適用されるだけでなく、CMSが構築されているスタックにも適用されます。 Joomla!、DrupalおよびWordpressは、市場で最も使用されているCMSであり、Webアプリケーションで最も使用されている言語であるPHPで構築されていますが、Ploneはあまり使用されていません(w3techによると)サイトの0.1%以上で、Pythonで構築されています。

次の要因は、脆弱性が報告されているCMSのバージョンです。多くの場合、問題は古いバージョンに関するもので、サポートされなくなりました。

他の要因は、脆弱性の場所です。それらはコアCMSまたは拡張機能にありますか? CMSの拡張機能が多いほど、CMS全体としてより多くの問題がカウントされます。

  • Drupalには、現在のバージョン(7または8)用に約7000の拡張機能があります。 outdatedバージョンの拡張機能と共に、リストには23,000の拡張機能があります。[1]
  • Wordpressには、約26,000の拡張機能があると記載されています[2]。 Wordpressのポリシーにより、すべてのバージョンで拡張機能を使用できるようにする必要があります。
  • Joomla!現在のバージョン(2.5、3.1)に約7000の拡張機能があります[3]。古いバージョンの拡張機能の番号は利用できませんが、15,000個で計算するのは節約です。
  • Ploneには、現在のバージョンで約180個の拡張機能が、古いバージョンで約2,000個の拡張機能がリストされています[4]。

たとえば、1年に1000個の拡張機能ごとに1つのセキュリティ問題があるとしましょう。次に、現在のバージョンでは、昨年のこの脆弱性の分布が予想されます。

Drupal        7
Wordpress    26
Joomla!       7
Plone         0

これは、投稿したスクリーンショットの最後の列とほぼ一致しています。ただし、Drupalの数ははるかに多くなります。これは、新しいバージョンのためにすべてをゼロからやり直さなければならないという事実が原因である可能性があり、そのため古い障害もやり直されます。

ソース:[1] Drupalモジュール [2] Wordpressプラグイン [3] Joomla拡張ディレクトリ [4] Plone製品 =

0
nibra