Dies ist die archivierte Version des Blogs vom 05.01.2017. Aktuelle Beiträge findest du unter thomas-leister.de
 

Bisher habe ich mich ja immer gefragt, durch was sich NextCloud von OwnCloud abheben will. Die kleinen Änderungen vom ersten Release konnten mich ja nicht zu einem Umstieg bewegen. Ist zwar ganz nett und schön, dass schon das ein oder andere verbessert wurde, aber gewichtige Gründe sind das für mich noch nicht. Umso schöner zu lesen, dass NextCloud ein großzügiges Bug Bounty -Programm ins Leben gerufen hat. Im Vergleich zum Programm von OwnCloud zahlt NextCloud eine ganze Menge mehr Geld für sicherheitskritische Bugs: Bis zu 5.000 $ für einen Bug, der es ermöglicht, auf dem Server fremden Code auszuführen, und bis zu 2.000 € für das Umgehen der Benutzerauthentifizierung. OwnCloud hingegen lockt mit maximal 500 $.

Das ganze freut mich deshalb so sehr, weil es immer wieder heißt, PHP-Software sei per se in den meisten Fällen weniger sicher als Software in anderen Sprachen (u.A. weil schwach typisiert). Da kann es nicht schaden, wenn man speziell das Thema Sicherheit bei einer so sensiblen Anwendung wie einer privaten oder geschäftlichen File-Cloud stark gewichtet. Ein großzügiges Bug Bounty -Programm führt in meinen Augen dazu:

  1. Es werden Anreize geschaffen, die Software Dinge tun zu lassen, die sie nicht tun soll
  2. Gefundene Sicherheitsprobleme werden evtl. eher an die Entwickler gemeldet, als im Darknet zu Geld gemacht
  3. Die Softwareentwickler werden dazu gedrängt, von Haus aus sicheren Code zu liefern – sonst kann es sehr, sehr teuer werden.

Vor allem Punkt 3 dürfte dazu führen, dass das Thema Sicherheit bei NextCloud ab sofort besonders groß geschrieben wird. Das wäre dann vielleicht auch ein Punkt, der NextCloud attraktiver als OwnCloud werden lässt. Ich bin gespannt ob OwnCloud nachzieht, bzw. was aus dem Stammprojekt wird. Schließlich werden sich die OC-Entwickler ihre User wohl eher ungerne von NextCloud abwerben lassen wollen … ;-) Das wird noch ein spannendes Rennen.

Update: Lukas Reschke war Sicherheitsverantwortlicher bei OwnCloud und ist nun bei NextCloud. Sein Post zum Thema Bug Bounty: https://statuscode.ch/2016/06/nextcloud-bug-bounties-and-me/


Post published on 17. Juni 2016 | Last updated on 18. Juni 2016
Tags:       

Diesen Blog unterstützen

Wenn Dir der Beitrag gefallen hat, freue ich mich über einen kleinen Obolus :-) Bitcoin QR Code

PayPal-Seite: https://www.paypal.me/ThomasLeister
Meine Bitcoin-Adresse: 15z8 QkNi dHsx q9WW d8nx W9XU hsdf Qe5B 4s

Siehe auch: Unterstützung

Informationen zum Autor

Thomas Leister

Geb. 1995, Kurzhaar-Metaller, Geek und Blogger. Nutzt seit Anfang 2013 ausschließlich Linux auf Desktop und Servern. Student der Automobilinformatik an der Hochschule für angewandte Wissenschaften in Landshut.

2 thoughts on “NextCloud Bug Bounty -Programm gestartet

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.