Overslaan en naar de inhoud gaan

Drupal maakt methode van updaten veiliger

De ontwikkelaars van contentmanagementsysteem Drupal nemen kritiek over de onveiligheid van het updateproces ter harte: de updates worden in snel tempo versleuteld.
patch
© CC0 - Pixabay
CC0 - Pixabay

Fernando Arnaboldi luidde enkele dagen terug de noodklok. Drupal-updates worden via onversleutelde internetverbindingen gedistribueerd. En dat biedt hackers de kans om de bestanden ongemerkt te wijzigen, vooral ook doordat Drupal kwetsbaar is voor cross-site forgery.

Het Drupal-team neemt momenteel maatregelen om dat probleem te tackelen, ook al acht het de kans op een man-in-the-middle-aanval via cross-site forgery niet erg groot. Maar onversleutelde bestanden maken het lastiger dan nodig is om te waarborgen dat je de juiste bestanden downloadt, schrijven ze nu. Downloads via Drush, een shell- en scriptinginterface voor Drupal op basis van een commandoregel-interface, vinden nu plaats via SSL. Drush is daarmee de veiligste methode om te updaten. Download-links op projectpagina's staan nu standaard eveneens ingesteld op communicatie via SSL. Aan het aanpassen van de core-module voor het bijhouden van de updatestatus en de url's voor versiecontrole wordt gewerkt.

Meer informatie is te vinden in een post van Drupals beveiligingsteam op Drupa Groups.

Gerelateerde artikelen
Gerelateerde artikelen

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in