UNFASSBAR: Webpresence-Builder bleibt z.Teil im technischen Stand der 80er

Webpresence-BuilerAdministratoren von Servern sind im Allgemeinen bemüht, die Sicherheit der Server durch diverse optimale Einstellungen zu erhöhen! Dabei ist ein ganz wichtiges Feature, die Verhinderung von Mail-Versendung via sendmail (alte PHP-Standardfunktion), weil hier auch eine optimale Kontrolle des ausgehenden Mail-Verkehrs so gut wie unmöglich ist!

Favorisiert werden soll, daß statt sendmail der Versand von Mails via SMTP mit Authentifizierung erfolgt! Auch in Plesk wurde daher das Sicherheitsfeature intigriert,  daß Administratoren ermöglicht, grundsätzlich „serverweit“, den Versand von Mails ohne Authentifizierung, also über sendmail, zu verhindern! Alle aktuellen CMS-Systeme, wie Joomla, WordPress und viele andere, ermöglichen die Hinterlegung von Authentifizierungsdaten für den SMTP-Versand und die Umschaltung auf SMTP-Versand.

Der Webpresence-Builder wird von Odin (ehemals Parallels), als innovatives Produkt angepriesen und als kostenpflichtige Erweiterung zum Plesk-Panel angeboten!

So wunderte es uns doch sehr, daß ein Kunde plötzlich keine Mails, über die von Webpresence-Builder erzeugten Formularen, erhalten hat und wir haben dann untersucht, warum diverse Mails einfach untergingen und festgestellt, daß der Webpresence-Builder nur über sendmail versenden kann, und bei optimal eingestellter Sicherheit im Plesk-Panel, ja verhindert wird!

Der Administrator des Servers muß quasi für den Webspace, auf dem eine Website, die mit dem Webpresence-Builder erzeugt wurde, die Rechte erteilen, daß dieser Webspace Mails über sendmail ohne Authentifizierung senden kann! Gleichzeitig wird für das Abonnement, also den Webspace mit ggf. mehreren Domains ermöglicht, daß auch andere Programme, wie Joomla, über sendmail senden können! Alle in Plesk 12.x verfügbaren Abfang-Routinen für ausgehenden Mail-Verkehr, werden aber bei sendmail ignoriert, davor warnt sogar Plesk-Panel, wenn die Grenzen gesetzt werden! Folglich, bei einem Einbruch in Joomla / WordPress, kann der Einbrecher, wie es vorher war, erst einmal 10000 Spam-Mails versenden, womöglich mit illegalem Inhalt, bis es entdeckt wird!

Wir haben am 6. August 2014 über diese Sicherheitslücke informiert und gebeten darum, daß man doch in naher Zukunft, den Versand von Mail über den Webpresence-Builder auch auf SMTP-Versand mit Authentifizierung umstellt oder es zumindest parallel mit anbietet! Dies ist nachzulesen auf der Seite: http://plesk.uservoice.com/forums/184549-feature-suggestions/suggestions/6263773-webpresence-builder-with-smtp-auth-and-config-choi?tracking_code=0bdf108767afe7b259df0d05f25aa5a2

Heute haben wir von Odin (ehemals Plesk) folgende Antwort erhalten:

Zitat:
(No Status) ? Declined
We do not plan on introducing major changes to Web Presence Builder at the moment

:Ende

Wir haben nicht erwartet, daß diese Sicherheitslücke kurzfristig geschlossen wird, aber daß diese einfach offen bleibt und unser Vorschlag mit „declined“ abgelehnt wird, halten wir überhaupt nicht als innovativ, sondern eher als sicherheitskritisch!

Zitat Odin und das Odin Logo sind eingetragene Marken der Parallels IP Holdings GmbH! Plesk und Parallels sind lt. öffentlichen Dokumenten auf der Webseite parallels.com eingetragene Marken von Parallels Inc.

3 Gedanken zu „UNFASSBAR: Webpresence-Builder bleibt z.Teil im technischen Stand der 80er“

  1. Da wird einem wohl Nichts Anderes überbleiben als auf webpresence-builder zu verzichten. Inzwischen gibt es genügend Anbieter, um Webseiten zeitgemäß zu erstellen, ohne dafür studiert haben zu müssen.

    1. Hallo Herr Holzschuh,

      ja, daß ist ganz schön traurig, was da Odin/Parallels los gelassen hat!
      Also wir werden auch selbst keine Webseiten mehr mit dem Webpresence-Builder erstellen,
      denn wenn solche Aussagen kommen, dann muß man davon ausgehen, daß wenn andere Sicherheitslücken
      im Webpresence-Builder bekannt werden, diese auch nicht gefixt werden!

      Viele Grüße
      1awww.com – Internet-Service-Provider

      Detlef Bracker

  2. Da wird einem wohl Nichts Anderes überbleiben als auf webpresence-builder zu verzichten. Inzwischen gibt es genügend Anbieter, um Webseiten zeitgemäß zu erstellen, ohne dafür studiert haben zu müssen. Und wenn die Leute von der Firma die Datensicherheit ihrer Kunden so vernachlässigen, muss eigentlich gewarnt werden davor!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.