Die im Forum verwendeten jQuery-Bibliotheken (https://www.camp-firefox.de/sites/default/…-2vkC-oWXARQ.js & https://www.camp-firefox.de/forum/assets/j…sets_version=70) scheinen recht alt zu sein und sind darüber hinaus anfällig für Sicherheitslücken. Ich weiss dass aufgrund der Komplexität nicht alles so einfach ist, besteht aber trotzdem die Möglichkeit diese zu aktualisieren?
Alte jQuery Versionen im Forum?
-
-
Ein Sicherheits-Risiko besteht dadurch nicht realistisch. Das sind die jQuery-Versionen, mit denen Drupal respektive phpbb ausgeliefert werden. Es liegt an den Entwicklern dieser Anwendungen, wenn du gerne neuere jQuery-Versionen im Einsatz sehen würdest. Wenn ich da was von Hand ersetze, bringt das gar nichts, das ist mit dem nächsten Update dann wieder überschrieben. Abgesehen davon, dass ich mit den Updates gar nicht mal weit gehen könnte, weil bei einem größeren Versionssprung Anpassungen der Softwares für Webseite und Forum notwendig wären und das ist wirklich Herstellersache. Für den Nutzer sind dadurch so oder so keine Unterschiede feststellbar.
-
Inwiefern die Sicherheitslücken ausnutzbar sind kann ich leider mangels Kenntnisse wenig sagen. Was ich aber weiss dass es diverse Lücken gibt, vor allem für das zuerst verlinkte welches noch in der Version 1.4.4 vorliegt.
http://web.nvd.nist.gov/view/vuln/deta…d=CVE-2011-4969, https://bugs.jquery.com/ticket/11290, https://github.com/jquery/jquery/issues/2432, https://bugs.jquery.com/ticket/9521 als Beispiel genannt.Gefunden habe ich es dank dem Firefox Add-on retire.js, falls kein Sicherheitsbedenken besteht oder es für dich nicht ohne sinnvollen Aufwand fixbar ist kannst du den Thread auch gerne in die Tonne werfen
-
So lange wir Drupal 7 verwenden müssen (was wir derzeit noch müssen), sind wir da auf eine so alte Version von jQuery festgelegt. Drupal 7 wird nach wie vor gepflegt und erhält regelmäßige Updates, nur ist Drupal 7 nun einmal bereits im Januar 2011 erschienen und mit Bugfix- und Sicherheits-Updates kann man aus Kompatibilitätsgründen kein Major-Update einer verwendeten Bibliothek durchführen.
Auf der Webseite gibt es überhaupt keinen Content, der von Nutzern kommt, keine Kommentare oder Ähnliches. Damit ist die Webseite auch nicht anfällig für XSS-Schwachstellen, weil ich die volle Kontrolle über die Inhalte habe. Sämtlicher Inhalt kommt entweder von der Software selbst (Drupal ist aktuell und erhält regelmäßige Sicherheits-Updates) oder sind Inhalte von meinem Blog, die natürlich keine Scripts oder dergleichen beinhalten.