Dies ist die archivierte Version des Blogs vom 05.01.2017. Aktuelle Beiträge findest du unter thomas-leister.de
 

NextCloud Bug Bounty -Programm gestartet

Bisher habe ich mich ja immer gefragt, durch was sich NextCloud von OwnCloud abheben will. Die kleinen Änderungen vom ersten Release konnten mich ja nicht zu einem Umstieg bewegen. Ist zwar ganz nett und schön, dass schon das ein oder andere verbessert wurde, aber gewichtige Gründe sind das für mich noch nicht. Umso schöner zu lesen, dass NextCloud ein großzügiges Bug Bounty -Programm ins Leben gerufen hat. Im Vergleich zum Programm von OwnCloud zahlt NextCloud eine ganze Menge mehr Geld für sicherheitskritische Bugs: Bis zu 5.000 $ für einen Bug, der es ermöglicht, auf dem Server fremden Code auszuführen, und bis zu 2.000 € für das Umgehen der Benutzerauthentifizierung. OwnCloud hingegen lockt mit maximal 500 $.

Das ganze freut mich deshalb so sehr, weil es immer wieder heißt, PHP-Software sei per se in den meisten Fällen weniger sicher als Software in anderen Sprachen (u.A. weil schwach typisiert). Da kann es nicht schaden, wenn man speziell das Thema Sicherheit bei einer so sensiblen Anwendung wie einer privaten oder geschäftlichen File-Cloud stark gewichtet. Ein großzügiges Bug Bounty -Programm führt in meinen Augen dazu:

  1. Es werden Anreize geschaffen, die Software Dinge tun zu lassen, die sie nicht tun soll
  2. Gefundene Sicherheitsprobleme werden evtl. eher an die Entwickler gemeldet, als im Darknet zu Geld gemacht
  3. Die Softwareentwickler werden dazu gedrängt, von Haus aus sicheren Code zu liefern – sonst kann es sehr, sehr teuer werden.

Vor allem Punkt 3 dürfte dazu führen, dass das Thema Sicherheit bei NextCloud ab sofort besonders groß geschrieben wird. Das wäre dann vielleicht auch ein Punkt, der NextCloud attraktiver als OwnCloud werden lässt. Ich bin gespannt ob OwnCloud nachzieht, bzw. was aus dem Stammprojekt wird. Schließlich werden sich die OC-Entwickler ihre User wohl eher ungerne von NextCloud abwerben lassen wollen … ;-) Das wird noch ein spannendes Rennen.

Update: Lukas Reschke war Sicherheitsverantwortlicher bei OwnCloud und ist nun bei NextCloud. Sein Post zum Thema Bug Bounty: https://statuscode.ch/2016/06/nextcloud-bug-bounties-and-me/


OwnCloud zeigt nur leere Seite, keine Fehler

Gerade habe ich ein PHP-Update auf meinem OwnCloud-Server durchgeführt. Nach dem Update wollte die Cloud nicht mehr und hat mir nur eine leere Seite angezeigt. Die Logs waren mir auch keine Hilfe, denn die wurden nicht beschrieben. Keine Fehlermeldungen – einfach nur eine leere Seite.

Nachdem ich die OwnCloud-Konfiguration verschoben habe wurden mir im Installer eine Menge fehlender PHP-Module angezeigt, die bei dem Update wohl irgendwie zerstört oder deinstalliert wurden. Nachdem ich dann ein paar Module installiert hatte, war auf einmal sogar php-fpm spontan verschwunden. Ich weiß bis jetzt nicht, was da mysteriöses vor sich gegangen ist, jedenfalls habe ich PHP dann komplett neu installiert. Jetzt funktioniert wieder alles.

Das nur als Tipp, falls jemandem ähnlich merkwürdiges zustößt.


PHP-Anwendungen unter eigenen Benutzern ausführen

Kaum einer meiner Server läuft nur mit einer einzigen Anwendung. Der Webserver, auf dem dieser Blog läuft, beherbergt nicht nur thomas-leister.de, sondern auch noch zwei andere Blogs und weitere PHP-basierte Webdienste, die ich zur Verfügung stelle. Aus Sicht eines Hackers ein lohnenswertes Ziel: Wird über eine PHP-Anwendung wie z.B. einen schlecht gepflegten WordPress-Blog Zugriff auf das Dateisystem des Servers erlangt, kann der Hacker nicht nur die unsichere Webapplikation angreifen, sondern auch alle anderen Anwendungen, die unter dem PHP-User laufen. Aus diesem Grund ist es sinnvoll, die PHP-Anwendungen etwas voneinander abzuschotten, sodass ein Angreifer von der einen PHP-Anwendung aus keine andere PHP-Anwendung beeinträchtigen kann. Dies erreicht man, indem man für jede Anwendung einen eigenen User anlegt, der PHP ausführt. Die Verzeichnisrechte werden so gesetzt, dass nur der jeweils zugedachte PHP-User Zugriff auf die Anwendungsdateien hat und keine weiteren Änderungen im Dateisystem vornehmen kann.

Weiterlesen ›