Dies ist die archivierte Version des Blogs vom 05.01.2017. Aktuelle Beiträge findest du unter thomas-leister.de
 

NextCloud Bug Bounty -Programm gestartet

Bisher habe ich mich ja immer gefragt, durch was sich NextCloud von OwnCloud abheben will. Die kleinen Änderungen vom ersten Release konnten mich ja nicht zu einem Umstieg bewegen. Ist zwar ganz nett und schön, dass schon das ein oder andere verbessert wurde, aber gewichtige Gründe sind das für mich noch nicht. Umso schöner zu lesen, dass NextCloud ein großzügiges Bug Bounty -Programm ins Leben gerufen hat. Im Vergleich zum Programm von OwnCloud zahlt NextCloud eine ganze Menge mehr Geld für sicherheitskritische Bugs: Bis zu 5.000 $ für einen Bug, der es ermöglicht, auf dem Server fremden Code auszuführen, und bis zu 2.000 € für das Umgehen der Benutzerauthentifizierung. OwnCloud hingegen lockt mit maximal 500 $.

Das ganze freut mich deshalb so sehr, weil es immer wieder heißt, PHP-Software sei per se in den meisten Fällen weniger sicher als Software in anderen Sprachen (u.A. weil schwach typisiert). Da kann es nicht schaden, wenn man speziell das Thema Sicherheit bei einer so sensiblen Anwendung wie einer privaten oder geschäftlichen File-Cloud stark gewichtet. Ein großzügiges Bug Bounty -Programm führt in meinen Augen dazu:

  1. Es werden Anreize geschaffen, die Software Dinge tun zu lassen, die sie nicht tun soll
  2. Gefundene Sicherheitsprobleme werden evtl. eher an die Entwickler gemeldet, als im Darknet zu Geld gemacht
  3. Die Softwareentwickler werden dazu gedrängt, von Haus aus sicheren Code zu liefern – sonst kann es sehr, sehr teuer werden.

Vor allem Punkt 3 dürfte dazu führen, dass das Thema Sicherheit bei NextCloud ab sofort besonders groß geschrieben wird. Das wäre dann vielleicht auch ein Punkt, der NextCloud attraktiver als OwnCloud werden lässt. Ich bin gespannt ob OwnCloud nachzieht, bzw. was aus dem Stammprojekt wird. Schließlich werden sich die OC-Entwickler ihre User wohl eher ungerne von NextCloud abwerben lassen wollen … ;-) Das wird noch ein spannendes Rennen.

Update: Lukas Reschke war Sicherheitsverantwortlicher bei OwnCloud und ist nun bei NextCloud. Sein Post zum Thema Bug Bounty: https://statuscode.ch/2016/06/nextcloud-bug-bounties-and-me/