Ich möchte es einfach nur einmal so stehen lassen, ohne es groß zu bewerten. Nur die Fakten, meine Reaktion und die Antwort darauf. Es soll sich jeder sein eigenes Bild schaffen
Ein Kunde von mir bittet mich den Webshop umzuziehen. Von der Softwareseite ziehen wir von einem Projekt zu einem anderen um und auch der Server wechselt. Ich von meiner Seite aus habe einen Linuxserver aufgesetzt und dem Kunden nach Wunsch ein multinationales Magazin auf Basis von WordPress installiert und konfiguriert und es mit dem Shop gleich getan.
Hier fiel die Kundenwahl erst auf Oxid, welches wir dann auf Grund von einigen Unterstützungsproblemen doch dann in ein anderes Opensourcewebshopsystem änderten. Dieses läuft Hochperformant und ist wirklich sehr zuverlässig. Hier wurden die Daten nun übertragen und die Tests verliefen auch sehr positiv. Als ich dann die Dateien für das erste Update herunterladen wollte, wurde ich doch sehr stutzig.
Die Downloadseite bietet im Gegensatz zu der restlichen Seite keine Verschlüsselung bzw Validierung der Webseite, der Download der Dateien erfolgt von Amazons S3, natürlich auch ohne Verschlüsselung/Validierung der Webseite und eine Checksumme ist leider auch nicht zu bekommen. Für einen Webshop. Kann man so machen.
Kommunikation
Hallo XXXX,
eine kurze Anfrage, welche ich so nicht in das Forum stellen wollte.
Warum ziehe ich das Update von Shopware von einem Host über eine ungesicherte Verbindung, obwohl es mit Zertifikaten Let’s encrypt doch möglich ist die Verbindung zu dem Host valdieren und absichern zu können.
Dies geht natürlich auch bei einer Amazoncloud unter welche ich die Dateien herunterlade
Warum finde ich für jedes Update keine Checksumme basierend auf md5 sha256, sha512 um dann das Updatepaket auch wirklich validieren zu können?
Das hinterlässt bei mir schon einen kleinen Beigeschmack.
Danke im Voraus und einen schönen Start in das Wochende Christian M. Grube
Die Antwort kam auch relativ fix
Hallo Herr Grube,
vielen Dank für Ihre Nachricht.
Ich habe dies an unsere Technik weitergeleitet. Generell besteht hier
keinerlei Gefahr, dass Pakete von außen manipuliert werden.Wir nehmen dies aber auf jeden Fall auf und werden es intern besprechend sowie zeitläufig
integrieren.Viele Grüße aus Blabla
Der Accountexectiveweclhermailte
Account Executive
Generell besteht hier keinerlei Gefahr, dass Pakete von außen manipuliert werden.
Das lasse ich mir nochmals auf der Zunge zergehen.
Vielleicht mag mir an dieser Stelle jemand erklären, wie viel sicherer ist ein Download, wenn eine Checksum auf demselben Webserver auf derselben Seite angezeigt wird?
Wer sich einhackt und das File austauscht kann doch ebenso die Textform-Checksum verändern auf der Seite.
Irgendwie frage ich mich das bis heute :-)
Es geht darum, dass die Datei auf der Seite Amazons S3 bei einem Download nicht jene ist, welche sie sein sollte ;)
Hier gab es mal einen netten Beitrag betreffend dem Fake von md5sum, dass zwei verschiedene Dateien die gleich haben könnten.
Deine Aussage ist da natürlich richtig, siehe auch https://web.archive.org/web/20170713174900/http://www.sans.org/security-resources/idfaq/verifying-files-with-red-hats-rpm/8/5
Von meiner Seite aus, sollten gerade hier die Pakete mit einem GPG-Schlüssel signiert werden.
Aber ich gehe davon aus, dass wird noch nicht einmal im Ansatz etwas.
Hier muss, bzw sollte man nur über git die Updates fahren und vorher die Historie untersuchen.
Mutig! Na ist ja auch nicht deren Geld…