Endlich Schluss mit Sicherheitslücken: Wir patchen automatisch

Philipp Zeder
Autor:

Philipp Zeder

Kategorie:

in

Neuigkeiten

Veröffentlicht am 15. Apr. 2015

Aktualisiert am 3. Juni 2021

Sie mussten es vielleicht auch schon mit Schrecken feststellen: Fremde haben sich Zugriff zu Ihrer Website verschafft, Schadsoftware hochgeladen und wenn es ganz blöd kam, auch noch Ihr Webhosting für den Versand von Spam missbraucht. Ein solches Szenario ist heutzutage (leider) nicht aussergewöhnlich.

Der mit Abstand häufigste Grund dafür, weshalb es überhaupt so weit kommen kann: Sicherheitslücken in Content-Management-Systemen, Plugins und Themes.

Wir schliessen Sicherheitslücken automatisch

Wir legen ab heute einen Schutzmantel über unsere Webhosting-Server, der Ihre CMS-Installationen im Auge behält und bekannte Sicherheitslücken automatisch schliesst. Dank zielgenauen Patches merken die Besucher Ihrer Website nichts davon.

Automatische E-Mails und eine übersichtliche Verwaltung im my.cyon-Konto sorgen dafür, dass Sie immer wissen, wie es um die Sicherheit Ihrer Website steht. Geniessen Sie also lieber das schöne Wetter anstatt sich mit Sicherheitslücken, gehackten Websites oder sogar einem gesperrten Webhosting herumzuschlagen.

Wir schützen Ihre Website, geniessen Sie den Sommer.

Wir schützen Ihre Website, geniessen Sie den Sommer.

Das Rundum-Sorglos-Paket

Falls sich doch einmal Schadsoftware (sogenannte Malware) auf Ihrem Webhosting befindet, müssen Sie sich ebenfalls keine Sorgen machen. Das neue System schliesst nicht nur Sicherheitslücken, sondern verschiebt auch Malware automatisch in Quarantäne. Das Risiko, dass sich Besucher auf Ihrer Website ungewollte Software einfangen oder Ihr Webhosting Teil eines Botnetzes wird, sinkt damit drastisch.

Zu guter Letzt informieren wir Sie auch, wenn auf Ihrem Webhosting veraltete Applikationen installiert sind. So können Sie rechtzeitig dringend nötige Updates einspielen und bleiben Angreifern immer einen Schritt voraus.

Beliebte CMS besonders gefährdet

WordPress und Joomla sind die beiden beliebtesten Content-Management-Systeme unserer Kunden. Das macht diese Systeme auch für Angreifer attraktiv. Nebst den beiden Favoriten schliesst unser System ausserdem Sicherheitslücken in Drupal und osCommerce. Weitere Applikationen werden folgen.

Für viele Applikationen erhalten Sie bereits jetzt automatisch eine E-Mail, falls eine veraltete Version auf Ihrem Webhosting installiert ist. Die jeweils aktuellste Liste der unterstützten Applikationen finden Sie in unserem Supportcenter: Für welche Applikationen werden Sicherheitslücken automatisch geschlossen?

Mausklick – Problem gelöst

Höchste Zeit, die betroffenen Applikationen zu aktualisieren.

Höchste Zeit, die betroffenen Applikationen zu aktualisieren.

Ab Dienstag 21.04.2015 werden Sicherheitslücken automatisch geschlossen. Wagen Sie bis dahin schon einmal einen Blick auf die neue Funktion, die Sie im my.cyon-Konto unter «Sicherheit» finden und schliessen Sie allfällige Sicherheitslücken mit einem Klick auf «Patchen». Im Fall der Fälle lässt sich der Patch übrigens genau so einfach wieder rückgängig machen.

Update vom 17. April 2015

Wir haben uns die zahlreichen Rückmeldungen zu Herzen genommen und den Funktionsumfang erweitert. Ab sofort kann das automatische Patchen um zwei Wochen verzögert werden. Die Benachrichtigungen erfolgen weiterhin per sofort, damit man stets über neue Sicherheitslücken informiert wird.

Zudem ist es in diesem Modus möglich, das Patchen von bestimmten Dateien gänzlich zu deaktivieren.

Beteilige dich an der Diskussion

72 Kommentare

O. Kaufmann
O. Kaufmann 4. Mai 2017 11:15

Werden eigentlich auch manuel installierte WordPress/Joomla etc. Instanzen automatisch gepatched?

Philipp Zeder
Philipp Zeder cyon
4. Mai 2017 15:09

Ja, auch manuell installierte Instanzen werden erkannt und gepatched. Du findest im my.cyon-Konto eine Übersicht der erkannten Instanzen.

Oliver Kaufmann
Oliver Kaufmann 6. Mai 2017 16:44

Super Service, merci!

Raphael
Raphael 13. Mai 2015 17:30

Super Sache. Ist auch etwas für Magento geplant? Ein Update ist immer eine Riesenbaustelle… ohne Sicherheitslücken könnte man das eine oder andere einfach vergessen :)

Philipp Zeder
Philipp Zeder cyon
14. Mai 2015 13:49

Zu Magento ist aktuell nichts geplant. Wir nehmen den Wunsch aber gerne auf.

Frank Rittershofer
Frank Rittershofer 27. Apr. 2015 23:21

Hi All

Echt Ihr seid wirklich die coolsten…
Ich habe echt noch nie was besseres gesehen. Der Support ist genial
die Tools wirklich zu gebrauchen und Ihr habt sehr sehr geile Ideen.

Weiter so

Gruss
Frank

David Burkardt
David Burkardt cyon
29. Apr. 2015 11:00

Wow. Vielen Dank!

Julian
Julian 27. Apr. 2015 20:01

Grundsätzlich gute Idee…
Wann aktiviert ihr diese Funktion auch auf den Cloud Server (Speedserver)?

David Burkardt
David Burkardt cyon
27. Apr. 2015 22:07

Es ist noch nicht ganz klar, wann Speedserver diese Funktion erhalten. Bei den Agencies kommt sie in den nächsten paar Wochen. Falls du diesbezüglich Wünsche und Anregungen hast, kannst du dich gerne auch kurz per E-Mail melden.

Adriano Hänggli
Adriano Hänggli 26. Apr. 2015 17:50

Super Sache das Ganze!
Kann es jedoch sein, dass neu die Post und Get Method auf potentiellen Schadcode geprüft werden?
Für einen Kunden ist en GUI impelentiert, welches die Bearbeitung von tpl (bzw. txt)-Dateien erlaubt. Jedoch kommt neuerdings nurnoch eine 403 Seite sobald HTML-Code via Post-Method abgesendet wird.

David Burkardt
David Burkardt cyon
27. Apr. 2015 09:21

Danke. Der 403-Fehler dürfte unabhängig sein und mit unserer Web Application Firewall zusammenhängen. Du kannst uns kurz die Domain mitteilen, dann whitelisten wir die entsprechende Regel für Dich.

R.G.
R.G. 23. Apr. 2015 17:19

Guten Tag zusammen,

meiner Meinung nach eine gute Ergänzung eurer Services. Genial ist ausserdem, dass ihr gleich auf die Feedbacks eurer Kunden reagiert und u.a. die Verzögerung eingebaut habt.

Wie sieht es aber aus, wenn z.B. WordPress nicht über euer Scriptcenter sondern manuell installiert wird? Im Sicherheitsregister von my.cyon steht dann lediglich, dass aktuell keine Applikation installiert ist, die von euch überwacht wird. So wie ich es verstehe gehen euch da einige Installationen durch die Lappen. Oder ist dies so gewollt?

Cheerio

David Burkardt
David Burkardt cyon
24. Apr. 2015 09:38

Danke für die Rückmeldung.
Der Weg der Installation spielt keine Rolle, es werden alle Dateien gescanned. Die Anzeige der Installationen ist noch mangelhaft, da arbeiten wir daran. Sicherheitslücken gibt es in deinem Fall offenbar kein. Good job :)

Allon
Allon 21. Apr. 2015 17:15

Was passiert wenn man einen Patch reverted? Bekommt man nach dem nächsten Scan wieder die Meldung, dass eine Sicherheitslücke besteht?

Dank der Sicherheits-Übersicht habe ich wieder mal mein Hosting aufgeräumt :-)

David Burkardt
David Burkardt cyon
22. Apr. 2015 09:04

Nein, wird ein Patch reverted, wird diese Datei von weiteren Prüfungen ausgenommen.

Dank der Sicherheits-Übersicht habe ich wieder mal mein Hosting aufgeräumt :-)

Das freut uns natürlich :)

Allon
Allon 21. Apr. 2015 16:48

Ich bitte Sie höfflichst, dass es möglich sein muss das automatische Patchen zu deaktivieren. Da sowieso jedes Hosting in einem eigenen Container läuft, sollte das Problem ja nur für einen selber auftreten.
Ich Hilfe selber ein bisschen an Joomla mit und patche meine Seiten manchmal selber um nicht zu warten zu müssen bis die nächste stabile Version erscheint. Wie wird eine Joomla Installation erkennt? Über das Tools Center?

David Burkardt
David Burkardt cyon
21. Apr. 2015 16:51

Wir haben diese Funktion nachgereicht. Sie ist im Menüpunkt “Sicherheit” in der rechten Sidebar ganz unten zu finden.

Nicht alles auf dem Server ist in einem Container. Wenn z.B. der Server auf einer RBL landet, betrifft das alle Kunden auf dem Server.

Klaus Fre
Klaus Fre 21. Apr. 2015 15:08

Ich schliesse mich den Bedenkne zahlreicher Cyönler hier an. An Kundendateien rumzumachen, ohne Auftrag, das geht gar nicht.

Wenn wir dann noch eine Mail erhalten, wo über ein veraltetes Joomla 2.5xx gesprochen wird, wo doch die Joomla Hard-Core Entwickler vom aktiven Einsatz der 3er Version abraten (siehe VirtueMart Entwicklerseite), da sehr viel noch nicht geanu definiert ist oder laufend wieder geändert wird, muss ich mich über die Idee hier einfach so mal ein paar Patches einzubringen, doch sehr wundern.

Wir werden unsere Seiten auf jeden Fall auf andere Server verschieben und hier nur noch einen Entwicklungsplatz stehen lassen.

Sorry, aber unseren Kunden können wir das nicht rüberbringen, da nützen alle gutgemeinten Antworten nicht viel.

David Burkardt
David Burkardt cyon
21. Apr. 2015 16:06

Besten Dank für den Kommentar. Ein paar Bemerkungen:

– Joomla 2.5 ist offiziell End of Life und nicht mehr empfohlen: https://docs.joomla.org/What_version_of_Joomla!_should_you_use

– Joomla 3.x wurde vor bald 3 Jahren veröffentlicht.

– Das Feststellen einer veralteten Version und das Patchen sind zwei paar Schuhe. Wir machen ja keine Updates sondern bringen nur gezielt Patches in unveränderten Core-Files an (ab Joomla 1.5 notabene), um den Betrieb des Servers für alle Kunden sicher und stabil zu halten.

– Seit der Einführung haben wir die Möglichkeit des verzögerten Patchens und des Ignorieren einzelner Files eingeführt, siehe auch https://www.cyon.ch/support/a/261/wie-funktioniert-das-automatische-schliessen-von-sicherheitsluecken Damit dürften alle unterschiedlichen Bedürfnisse bedient sein.

M.H.
M.H. 20. Apr. 2015 11:21

Habe mir die neuen Funktionen unter my.cyon angeschaut. Soweit ist es sicherlich lobenswert, dass Cyon bei den Sicherheitslüken Hand bietet, diese einfacher zu schliessen. Dies vor allem, da nicht jeder ein “Vollprofi” im CMS-Core ist.

Etwas verwirrlich ist allerdings die Info im rechten Bereich:

1 Ihrer 2 Joomla-Installationen ist veraltet und muss aktualisiert werden.
Wenn ich nun noch die Details abrufe, steht da:
Veraltet 2.5.5 /home/haltiner/public_html/
Aktuell 3.4.1 /home/haltiner/public_html/

Nun ist es jedoch so, dass es früher eine 2.5.xx Installation gegeben hatte, welche dann aber per Updatepaket über den Installer des CMS und periodisch mittels der Updatefunktion im Backend von Joomla, bis auf die aktuelle Version aktualisiert wurde.
Aus dieser Auswertung muss ich daher annehmen, dass die Uptates von Joomla selbst einige “Dateileichen” auf dem Server zurücklassen, welche dann natürlich von mir als Laie/Hobby-Webmaster nicht mehr unterhalten und geprüft werden.
Mir drängt sich daher noch ein weiterer Aspekt zur Schliessung der Sicherheitslücken auf. Nämlich die Möglichkeit der Bereinigung der erwähnten Überbleibsel einer schon längst nicht mehr verwendeten CMS-Installation , ohne dabei die gesamten CMS-Installationen löschen zu müssen um danach ein neues Gesamtpaket auf zu spielen.

David Burkardt
David Burkardt cyon
20. Apr. 2015 12:25

Die Erkennung der installierten Applikationen ist derzeit leider noch ungenau. Wir haben einen entsprechenden Hinweis angebracht und arbeiten an einer Verbesserung. Ich gehe nicht davon aus, dass noch Dateileichen zurückgelassen wurden und empfehle, vorläufig noch abzuwarten.

christian
christian 20. Apr. 2015 08:57

Also ich für meinen Teil finde diese Funktionalität super. Die Vorteile überwiegen meiner Meinung nach den Nachteilen.

Was mir aktuell fehlt ist die Möglichkeit, den Scanner neu anzuwerfen. Oder alternativ dazu einen Hinweis, dass die Liste mit den Sicherheitslücken nicht sofort aktualisiert wird.

Philipp Zeder
Philipp Zeder cyon
20. Apr. 2015 09:41

Merci für Dein Feedback. Die Möglichkeit, manuell einen Scan zu starten, wird in den kommenden Wochen noch folgen. Einen entsprechenden Hinweis werden wir einbauen.

Robert Lang
Robert Lang 18. Apr. 2015 19:43

Wieso erscheint mein Kommentar nicht?

Philipp Zeder
Philipp Zeder cyon
20. Apr. 2015 09:29

Hallo Herr Lang. Ihr Kommentar war aus unserer Sicht reine Werbung für einen unserer Mitbewerber. Deshalb haben wir den Kommentar nicht veröffentlicht. Vielen Dank für Ihr Verständnis.

Robert Lang
Robert Lang 20. Apr. 2015 21:41

Alles klar! Tut mir leid dass ich der Name einer Mitbewerber von euch erwähnt habe. Wenn man nicht mal das machen kann finde ich es schon ein bisschen traurig.

Ich habe überhaupt keine Interesse Werbung für Firmen zu machen. Ich wollte einfach sagen dass es andere guten Hosters in Basel gibt und zwar an Stefan Bühlmann wo erwähnt hat dass cyon ist von Basel. Aber eben cyon ist nicht der einzige Hoster aus Basel…

Ich hoffe dieses Kommentar wird nicht wieder gelöscht. Ich erwähne hier schlussendlich keine andere Firma!

xor
xor 17. Apr. 2015 10:02

Sehe hier Kritik an der neuen Patch Strategie.

Kann nur sagen das ein Bekannter der ebenfalls ein Cyon Account, hat schon 2 mal ein Einbruch und Kompromittierung seiner Webseiten ertragen musste, inklusive Datendiebstahl und stundenlanger Aufräumarbeiten.
Der Angriff erfolgte höchstwahrscheinlich über Sicherheitslücken in Worldpress oder Plugins dazu.
Ich sehe auch auf meiner kleinen Webseite die ich bei Cyon betreibe permanent automatisierte Angriffe vor allem auf Worldpress. (Die Seite läuft ohne SQL und ist deshalb weniger anfällig.)
Einige Male habe ich sogar nicht automatisierte Angriffe beobachten können.
Falls ein Angriff gelungen ist, bewirkt das dann auch dass Cyon IPs auf Blocklisten landen und es dann wieder lange dauert bis sie da wieder entfernt werden.

Habe selbst auch viele Sicherheitslücken zB in chCounter entdeckt, der leider auch nicht mehr weiter entwickelt wird. Und für chCounter gibts zB ein WP-Plugin.

Ich weis nicht wie Paches aufgespielt werden so das keine Konflikte mit möglicherweise selbst angepassten Codes entstehen.
Mühsam wäre es nur wenn ein Patch Dateien überschreibt oder kaputt macht die man selbst manuell angepasst/weiterentwickelt/gepatcht hat.
Cyon könnte ja das Vorgehen bei einem automatisierten Patch genauer beschreiben. (Werden zB Hashes der Dateien verwendet um alle veröffentlichten Versionen zu prüfen und nur unveränderte Codes gepatscht? Überschreibt ein Patch die ganze Datei oder wird eine Patching Software verwendet die nur Codezeilen verändert?)

Cyon könnte auch ein .htaccess Beispiel veröffentlichen, welches einige Angriffe blockt (falls so was nicht schon existiert)
zB <? oder ../ sollten eigentlich nie in einem HTTP_USER_AGENT auftauchen,
oder Zugriffe von libwww Python-urllib und Indy Library brauch glaube ich auch niemand auf seiner Seite.

Kunden könnten dann selbst entscheiden ob sie das .htaccess teilweise oder ganz einbauen, oder auch nicht.
(Und so eine Datei wäre sicher auch ein gutes Beispiel für nicht-experten.)

David Burkardt
David Burkardt cyon
17. Apr. 2015 17:16

Merci für den ausführlichen Erfahrungsbericht. Es wird nur unveränderter Code gepatcht und nicht die ganze Datei ersetzt sondern nur die betroffene Stelle berührt.
Mit der neuen Verzögerungs- und Ignorierfunktion sind wir den Wünschen nun nachgekommen.

Jürg-Peter Lienhard
Jürg-Peter Lienhard 17. Apr. 2015 09:45

Gott sei dank, ist Cyon nicht nur ein zuverlässiger Partner, sondern auch stets um bestmöglichen Kundendienst und Engagement für Sicherheit bemüht! Bleibe darum dabei und fühle mich behütet… Da bei uns schon eingebrochen wurde um mlaware zu versenden und daher Cyon unsere sites abschaltete, um nicht andere Kunden zu schädigen, hatte unser armer Verein Panik, dass viele unserer unikaten Artikel ins virtuelle Nirwana entschwinden. Bereits haben wir angefangen, die Artikel runterzuladen, sie neu zu umbrechen und zu bebildern, um sie dann als Druck zu erhalten. Auch das kostet Geld, zumal es sich bereits um rund 1300 Artikel handelt und jeder neue Umbruch rund zwei Stunden und mehr Arbeit kostet – unbezahlt… Merci Cyon-Team!

Marco von Arx
Marco von Arx 17. Apr. 2015 09:01

Muss mich da auch Kritisch äussern.
Ich denke da an die jüngsten Probleme mit dem Installatron. Installatron hat ja auch eine auto-update Funktion. Wenn man vergisst diese auszuschalten läuft plötzlich nach einem auto-update die Seite nicht mehr. Zum glück macht der Installatron vorher ein Backup, welches man dann manuell zurückspielen kann, aber Kunde ist trotzdem verärgert und die Zeit die man damit verschwendet wäre sinnvoller einsetztbar.
Hände weg von automatischen Updates!

David Burkardt
David Burkardt cyon
17. Apr. 2015 17:11

Ja, bei automatischen Updates muss man sicher vorsichtig sein, wenn man Änderungen am Core vorgenommen hat. Unser System macht aber keine Updates, sondern patcht gezielt direkt im Code. So kann davon ausgegangen werden, dass nichts kaputt geht.

Bert Hofmänner
Bert Hofmänner 17. Apr. 2015 08:28

Ich schliesse mich den kritischen Kommentatoren an. Hier unser Argument: wer professionell programmiert, entwickelt nicht auf dem Webserver, sondern auf einem Test- oder Staging-System. Beim Publishen werden alle Daten vom Test-/Staging-System auf den Webserver hochgeladen. Wenn jetzt Cyon auf dem Webserver Änderungen vornimmt, werden diese beim nächsten Publish einfach überspielt, sprich rückgängig gemacht (eine gepatchte Sicherheitslücke wäre also wieder offen).
Funktioniert etwas auf dem Webserver nach einem Cyon-Patch nicht mehr, wird es schwierig… Der Entwickler prüft alles auf seinem Test-/Staging System, kann den Fehler nicht nachvollziehen. Spielt alles nochmals hoch. Es funktioniert wieder alles, bis Cyon wieder den Patch drüber kopiert. Wer haftet jetzt für die zusätzlich entstandene Arbeit? Wenn Cyon Anpassungen vornimmt, müsste Cyon auch Haftung übernehmen…
Von mir aus also ganz klar: Das Feature muss optional sein. Für mich wäre es gangbar, wenn Cyon Hostings, welche mit bekannten Sicherheitslücken behaftet sind, nach einer Vorwarnung sperrt. So haben professionelle Entwickler eine Möglichkeit, eine Sicherheitslücke in Eigenregie nachhaltig zu stopfen.

Philipp Zeder
Philipp Zeder cyon
17. Apr. 2015 17:20

Das System informiert automatisch und transparent über jeden erfolgten Patch. Damit lässt sich jederzeit nachvollziehen, welche Sicherheitslücke in welcher Datei geschlossen wurde.

Der Entwickler prüft alles auf seinem Test-/Staging System, kann den Fehler nicht nachvollziehen. Spielt alles nochmals hoch. Es funktioniert wieder alles, bis Cyon wieder den Patch drüber kopiert. Wer haftet jetzt für die zusätzlich entstandene Arbeit? Wenn Cyon Anpassungen vornimmt, müsste Cyon auch Haftung übernehmen…

Die Frage lässt sich meiner Meinung nach auch umgekehrt stellen: Wer haftet für ausgenutzte Sicherheitslücken und deren Auswirkungen? Die daraus resultierenden Schäden und Aufwände sind immens. Mit automatischen Patches lassen sie sich vermeiden.

Wir haben uns aber die Rückmeldungen zu Herzen genommen und soeben eine neue Funktion aktiviert, mit der sich automatische Patches verzögern und einzelne Dateien vom Patchen ausschliessen lassen.

JackBlack
JackBlack 16. Apr. 2015 19:19

Fragen
1. Kann dieses Patchen für eigen installierte CMS (nicht über den Installer) aktiviert werden, ist das evtl. bereits automatisch aktiviert?
Falls ja: wie erkennt ihr eigens installierte CMS?

Philipp Zeder
Philipp Zeder cyon
17. Apr. 2015 11:02

Das System erkennt auch installierte CMSe, die nicht über das Scriptcenter installiert wurde. Du kannst bereits jetzt in Deinem my.cyon-Konto unter «Sicherheit» nachschauen, ob möglicherweise Sicherheitslücken auf Deinem Webhosting gefunden wurden.

Adrian
Adrian 16. Apr. 2015 18:07

Ich muss mich den kritischen Kommentaren hier leider anschliessen. Gut gemeint, aber nicht durchdacht. Wenn ein Hoster beginnt in den Dateien auf meinem shared serverspace (egal ob Code eines CMS oder was anderes) herumzufummeln, dann bin ich weg. Als Option, die ich einstellen kann, von mir aus. Bei über my.cyon.ch installierte Apps von mir aus. Aber nicht defaultmässig und nicht nach dem Motto “Wir machen einfach mal und du kannst es ja wieder rückgängig machen.”. Ich miete hier Webspace und nicht WordPress cloud hosting. Wenn ich das will gehe ich zu WordPress.com

David Burkardt
David Burkardt cyon
17. Apr. 2015 16:48

Wir haben uns gut überlegt ob es richtig ist, Dateien unserer Kunden anzufassen und die Entscheidung ist nicht einfach.

Auf einem Webhosting-Server, der von mehreren Kunden geteilt wird, ist es aus unserer Sicht schwierig zu sagen: “Das ist meine Sicherheitslücke, die geht niemanden etwas an”. Eine Sicherheitslücke ist nicht irgend ein kosmetisches Problem sondern hat das Potential, enormen Schaden für alle Kunden auf dem Server anzurichten. Der Klassiker ist Spamversand über eine Sicherheitslücke, welcher zur Folge hat, dass die IP des Servers auf einer Blacklist landet und den Mailverkehr für alle Kunden massiv einschränkt. Natürlich werden wir in einem solchen Fall alarmiert und wir suchen die Ursache und wechseln die IP vorübergehend aus, doch auch eine kurze Störung kann sehr ärgerlich sein.

An dieser Stelle ist noch einmal zu betonen, dass wir keine Updates durchführen, sondern gezielt eine Schwachstelle in einer Datei mit dem entsprechenden Patch beheben. Das kann zum Beispiel das Ausbessern eines simplen Tippfehlers sein.

Unter dem Strich sind wir also der Ansicht, dass es auf einem gemeinsamen Server kein “Recht auf eine Sicherheitslücke” gibt, da man diese Verantwortung dafür schlicht nicht tragen kann.

Dennoch haben wir uns die Rückmeldungen natürlich zu Herzen genommen. Wer Modifikationen unsererseits ausschliessen will, kann nun ein verzögertes Patchen aktivieren und hat dann 14 Tage Zeit, gefundene Sicherheitslücken zu beheben. Auch können in diesem Modus einzelne Dateien gänzlich von dem automatischen Patchen ausgeschlossen werden.

Kurt
Kurt 16. Apr. 2015 17:54

Cyon macht einfach sehr viel fürs Geld. Wenn mal etwas nicht “haut”, ist der perfekte Service auch noch da. Dank an Andreas im Speziellen.

LG Kurt

Moe
Moe 16. Apr. 2015 17:25

auch wenn ich hier kritisiere; bitte verwechselt nicht Updates mit Sicherheitspatches und letzteres wird sich wohl nicht deaktivieren lassen wenn ich die GL richtig verstanden habe….

Geni
Geni 16. Apr. 2015 16:55

Ich will keinen automatischen Update. Wo kann ich diesen abstellen?

Philipp Zeder
Philipp Zeder cyon
17. Apr. 2015 16:49

Wir haben soeben eine weitere Option aktiviert, mit der Du das automatische Patchen verzögern kannst.

Stefan Bühlmann
Stefan Bühlmann 16. Apr. 2015 16:54

Hallo,

wir sind mit dem Service von Cyon absolut unzufrieden. Über Monate hinweg hatten wir tägliche Mail-Blocks (konnten keine Mails versenden) weil ein Cyon Server auf einer Blackliste war. Wir haben dies immer gemeldet (über 10 Mal) und wurden vertröstet. Manchmal ging es mehr als ein Tag bis wir wieder Mails versenden konnten. Für ein Business ist Mail absolut fundamental und schon nach dem 3-ten Block sollte ein Hoster eine permanente Lösungen finden!

Wäre Cyon nicht von Basel wären wir schon längst bei einem anderen Hoster!

Wird es nun besser durch die Änderungen? Ich glaub kaum. Joomla und co. sind Coderiesen und voll mit Bugs, zudem dauert es bis es einen Fix gibt immer mehrer Tage. Besser wäre ein kompletter Ban für schrottige CMS!

Philipp Zeder
Philipp Zeder cyon
16. Apr. 2015 17:33

Mit automatischen Patches können wir genau dieses Problem an der Wurzel packen. Sicherheitslücken sind der Grund Nummer Eins für gehackte Websites und Schadsoftware, die für den Versand von Spam genutzt wird. Ich gehe also stark davon aus, dass die Massnahme Früchte tragen wird.

Fabian
Fabian 20. Apr. 2015 11:52

Das Problem rührt eher daher, dass Ihr die Mail-Infrastruktur mit der Hosting-Infrastruktur gekoppelt habt.

David Burkardt
David Burkardt cyon
20. Apr. 2015 12:20

Das hat Vor- und Nachteile und wird mittelfristig voraussichtlich entkoppelt. Weitere Problempunkte wie Malware und Phishing werden damit aber nicht aus der Welt geschafft.

Daniel Zihlmann
Daniel Zihlmann 16. Apr. 2015 16:23

Und ja: So eine kurzfristige Ansage halte ich auch nicht für wirklich durchdacht…

David Burkardt
David Burkardt cyon
17. Apr. 2015 17:35

Du kannst jetzt das Patchen verzögern und für einzelne Dateien auch gänzlich deaktivieren.

Daniel Zihlmann
Daniel Zihlmann 16. Apr. 2015 16:22

Danke, nein. Ich möchte auch keine automatischen Updates. Ihr könnt mir gerne eine Email mit den aktuellen Lücken schicken, aber dann überlasst das updaten bitte mir! Automatische Updates führen immer wieder zu Problemen, ich mache das lieber selber. So habe ich die Kontrolle und behalte den Überblick. Genau deswegen bin ich schliesslich bei cyon.

Philipp Zeder
Philipp Zeder cyon
16. Apr. 2015 17:13

Wir führen keine automatischen Updates durch, sondern schliessen gezielt bestehende Sicherheitslücken. Diese Patches stammen aus offiziellen Quellen und beeinträchtigen die Funktionalität der Website nicht. Ausgenutzte Sicherheitslücken haben so weitreichende Folgen, dass ein Zuwarten beim Patchen fahrlässig ist. Im Notfall lässt sich ein Patch unkompliziert rückgängig machen, eine ausgenutzte Sicherheitslücke leider nicht.

Moe
Moe 16. Apr. 2015 17:27

darum macht man Backups und in unserem Fall jeweils mehrere Generationen. Das Argument passt so nicht sorry ….

Philipp Zeder
Philipp Zeder cyon
17. Apr. 2015 19:12

Wenn in den vorhandenen Backups bereits Schadcode vorhanden ist, was dann? Ein Szenario welches wir leider nur allzu oft beobachten.

Moe
Moe 16. Apr. 2015 14:52

noch was: wir können jetzt unsere Testinstallation die bei cyon laufen wohl auch alle spülen da diese auch automatsch gepacht werden.

Teilweise laufen diese Testinstallationen im Hostingpaket des Kunden, in einer Subdomain oder in einem von unseren cyon Hostingpaketen.
Diese Testinstallation sind (bzw. waren da wir diese bereits zu transferieren beginnen) alle per Hypertext Access (.htaccess) geschützt. und sind eben genau dazu da Patches und Updates vorgängig zu testen :(.

Weiter: es gibt bei allen Systemen (seien das OS, CMS oder was auch immer) immer mal wieder Sicherheitspatches die neben dem Fix zum Teil neue eklatante Löcher öffnen und wieder zurückgezogen werden. Wie handelt ihr das?

Alles in allem ist das wirklich viel zu kurzfristig und nicht durchdacht!

Marc..
Marc.. 16. Apr. 2015 14:42

Ich finde es gut, wobei ich auch die Einwände verstehe. Und ich weiss wovon ich spreche. Haben eben einen Hack auf mehreren Seiten bereinigen müssen (nicht auf cyon), der über WordPress oder einem WP-Plugin eingespielt worden ist. Obwohl wir eigentlich dachten alle Updates und Patches eingespielt zu haben und immer die aktuellste WP Version verwendet.
Mein Fazit daraus: Nie mehr CMS, oder wenn dann nur was unbekanntes oder noch besser und “State-of-the-art” – ONE-PAGE-Templates, Code von Hand stricken und gut ist.
Aber für alle “normalen” 0815 Anwender sicher eine sehr sinnvolle Neuerung. Denn wie schnell übersieht man einen Sicherheitsupdate oder ist anderweitig abwesend und genau in diesem Moment hat irgend so ein Depp nichts besseres zu tun.
Und nun noch ein schon lange fälliges Kompliment an den Support “SEHR GUT und KOMPETENT” und auch ein Lob für das myCyon Interface (EINFACH und ÜBERSICHTLICH). Ihr bleibt bei mir die Nummer 1 der Hosting Anbieter in der Schweiz. Weiter so.

Hans Feder
Hans Feder 16. Apr. 2015 12:22

Wer erstellt die Patches. Sind das Cyon Mitarbeiter oder ein eingekauftes Produkt?

Philipp Zeder
Philipp Zeder cyon
16. Apr. 2015 15:08

Die Patches stammen aus den offiziellen Quellen der jeweiligen Content-Management-Systeme. Die von uns eingesetzte Lösung ist eingekauft.

Bea
Bea 16. Apr. 2015 10:48

Die Idee ist gut. Aber ich hoffe doch sehr, dass nicht plötzlich eine “alte” Joomla-Installation ein Update kriegt, obwohl das ganz bewusst noch so belassen wurde.

Und ganz schnell ist das System auch nicht: Habe eine Joomla-Installation von 3.2 irgendwas über Installatron rasch geupdated, aber sie wird unter dem Sicherheitszentrum als noch immer veraltet dargestellt.

Philipp Zeder
Philipp Zeder cyon
16. Apr. 2015 11:27

Das System macht keine Updates, sondern schliesst nur ganz gezielt Sicherheitslücken. Wenn Du bewusst eine veraltete Joomla-Installation betreibst, solltest Du Dir immer auch den damit verbundenen Gefahren bewusst sein. Der Aufwand eine verseuchte Installation wieder flott zu kriegen ist, nach unserer Erfahrung, in jedem Fall aufwendiger als regelmässige Updates zu fahren.

Und ganz schnell ist das System auch nicht: Habe eine Joomla-Installation von 3.2 irgendwas über Installatron rasch geupdated, aber sie wird unter dem Sicherheitszentrum als noch immer veraltet dargestellt.

Die Informationen werden zur Zeit einmal täglich aktualisiert. Das wird in Zukunft noch besser, versprochen.

Mo
Mo 16. Apr. 2015 10:42

liebe cyonlerInnen

herzlichen dank für euren immer super service. ich bin seit anfang sehr zufrieden & empfehle euch allen herzlichst weiter.

wünsche wunderbare frühlingszeit!

Ralph Huber
Ralph Huber 16. Apr. 2015 10:32

Genial!!! War eine gute Entscheidung, Euch für meine Kunden-Hostings auszuwählen. Vielen Dank!

Pascal Steck
Pascal Steck 16. Apr. 2015 10:28

Echt genial. Danke!!
Ist jedes mal wenn Schulferien sind ein Thema denn da haben offensichtlich einige “Döfis” nichts anders zu tun. Schade wenn man dann auch Ferien machen möchte … Da passt das Bild des Artikels und den Super Service perfekt.

Aber achtet darauf … nicht jede Installation erträgt ein 0815 Uptade wenn am Core was verändert wurde das der Kunde braucht oder die Entwickler noch nicht behoben haben.

Philipp Zeder
Philipp Zeder cyon
16. Apr. 2015 11:06

Ja, die Angreifer schlagen immer dann zu, wenn man in den Ferien ist. Vermutlich ein ungeschriebenes Gesetz in der Szene :)

Aber achtet darauf … nicht jede Installation erträgt ein 0815 Uptade wenn am Core was verändert wurde das der Kunde braucht oder die Entwickler noch nicht behoben haben.

Es gehört zu den Hauptzielen unserer Lösung, dass die angewandten Patches das System nicht beeinträchtigen und die Website wie gewohnt funktioniert. Wurde eine Sicherheitslücke gepatched, sollte immer ein manuelles Update gemacht werden. Darauf weisen wir in unseren automatischen Benachrichtigungen auch immer hin.

Moe
Moe 16. Apr. 2015 10:18

Sorry aber ich muss da wiedersprechen.
Ist sicher gut gemeint aber Zwang ist nie gut!

Einige unsere Kunden wollen vertsändlicherweise die Kontrolle behalten. Könnt Ihr garantieren, dass wenn ab dem 21.4. (was schon bald ist) nach dem automatischen Schliessen der Lücken die Joomla Seiten inkl. aller Erweiterungen reibungslos mit allen Funktionen weiterlaufen? Und wer prüft das? Wer übernimmt die Verantwortung wenn Probleme auftreten was wie ich sicher bin, früher oder später vorkommen wird?
Was passiert wenn ein Patch rückgängig gemacht wird? Wird dieser dann nach einiger Zeit wieder automatisch installiert? Fragen über Fragen ….

Manu
Manu 16. Apr. 2015 10:52

Das ist auch aus meiner Sicht ein berechtigter Einwand. Wir haben etwa 70 Websites bei Euch am Start. Mit zahlreichen eigenen Entwicklungen und Modifikationen. Ein Core Update bei Drupal ist immer eine heikle Sache, erfordert saubere Kontrolle und im Notfall ein Roll-back.

David Burkardt
David Burkardt cyon
17. Apr. 2015 17:16

Ja, Updates sind heikel. Wir machen aber keine Updates, sondern patchen gezielt Sicherheitslücken in einer betroffenen Datei. So ist nicht mit Problemen zu rechnen.
Als zusätzliche Option haben wir nun noch die Funktionen “Verzögertes Patchen” und “Ignorieren” nachgereicht, womit nun alle Wünsche erfüllt sein sollten.

Philipp Zeder
Philipp Zeder cyon
16. Apr. 2015 10:49

Moe, danke für Deinen Kommentar. Ich bin froh, dass Du das Thema aufbringst.

Wir möchten, dass Du die Kontrolle behältst. Deshalb wirst Du über jeden Patch transparent informiert und kannst diesen im Ernstfall auch rückgängig machen. Das System schliesst ganz gezielt die gefundene Sicherheitslücke und aktualisiert nicht einfach die komplette Datei, das Plugin oder sogar den Core. Das garantiert, dass die betroffene Website auch mit der geschlossenen Sicherheitslücke einwandfrei funktioniert. Wenn Du einen Patch rückgängig machst, wird dieser selbstverständlich nicht wieder automatisch angewendet.

Sicherheitslücken sind Gift für Deine Website. Wird eine Sicherheitslücke einmal ausgenutzt, musst Du konsequenterweise das ganze CMS neu aufsetzen, da Du Dir nie sicher sein kannst, ob nicht noch irgendwo Schadcode abgelegt wurde. Darum ist es so wichtig, Sicherheitslücken schnellstmöglich zu schliessen.

Moe
Moe 16. Apr. 2015 11:54

Sorry aber ich muss da trotzdem wiedersprechen.

Es sollte anders laufen: Die Liste mit den Sicherheitslücken anzeigen ist super und auch diese mit einen Klick schliessen zu können wenn ich denn will auch gut. Aber dass ihr die Patches zwangsweise automatisch installiert ist nicht gut. Ich bin mir zu 100% sicher dass dies zu Problemen führen wird. Wenn ihr das nicht so seht, habt ihr womöglich noch nicht viel am Joomla Core gearbeitet.

Ich kann dann u.U. nachher mühsam den problematischen Patch suchen gehen. Wir haben für kritische Sites extra eine 2. geschützte Installation um Patches/Updates zu testen!

Wenn ich weiter drüber nachdenke: Es ist m.E. nicht gut dem Webmaster bzw. Programmierer die Verantwortung annehmen zu wollen. Nach unserer Erfahrung werden die schlimmsten Sicherheitsprobleme durch Erweiterungen verursacht und ich kann mir nicht vorstellen dass ihr dies auch alle prüfen bzw. fixen könnt zumal wir in der Regel nur kostenpflichtige nutzen. Die Folge wird sein: Viele kümmern sich dann einfach nicht mehr um die Securtiy was dann noch viel schlimmerer Probleme verursachen kann bzw. wird. Habt ihr das bedacht??

M.E. ist die Idee gut aber die Umsetzung schiesst über das Ziel hinaus bzw. ist nicht wirklich durchdacht.

Nebenbei:
Aktuell laufen die Telefon bei uns deswegen heiss. Wir betreuen ca. 25 Joomla Installation bzw. Kunden mit Joomla. Ca. 3/4 davon (noch) bei cyon und der Tenor ist klar: Wir möchten das lieber nicht automatisch haben!
Müssen jetzt auch die Wochenplanung anpassen. Die viele Kunden von uns erwarten nächste Woche Stand-by für etwaige Probleme zu sein. Die Vorlaufzeit ist echt zu kurz!
P.S.. Ich spreche zu 100% von Joomla andere CMS unterstützen wir derzeit nicht.

Philipp Zeder
Philipp Zeder cyon
16. Apr. 2015 15:35

Ich kann Deine Verunsicherung verstehen, die Gefahr, die von Sicherheitslücken ausgeht, darf aber nicht unterschätzt werden.

Es sollte anders laufen: Die Liste mit den Sicherheitslücken anzeigen ist super und auch diese mit einen Klick schliessen zu können wenn ich denn will auch gut. Aber dass ihr die Patches zwangsweise automatisch installiert ist nicht gut. Ich bin mir zu 100% sicher dass dies zu Problemen führen wird. Wenn ihr das nicht so seht, habt ihr womöglich noch nicht viel am Joomla Core gearbeitet.

Das stimmt, Arbeiten am Joomla Core gehört nicht zu unseren Kernkompetenzen. Deshalb stammt die von uns eingesetzte Lösung von Experten, die sich tagtäglich mit den unterstützen Content-Management-Systemen befassen.

Wenn ich weiter drüber nachdenke: Es ist m.E. nicht gut dem Webmaster bzw. Programmierer die Verantwortung annehmen zu wollen. Nach unserer Erfahrung werden die schlimmsten Sicherheitsprobleme durch Erweiterungen verursacht und ich kann mir nicht vorstellen dass ihr dies auch alle prüfen bzw. fixen könnt zumal wir in der Regel nur kostenpflichtige nutzen. Die Folge wird sein: Viele kümmern sich dann einfach nicht mehr um die Securtiy was dann noch viel schlimmerer Probleme verursachen kann bzw. wird. Habt ihr das bedacht??

Wir hätten es am liebsten, wenn alle Webmaster und Programmierer ihre Systeme selbst schützen und immer auf dem neusten Stand halten. Leider ist das Wunschdenken und selbst erfahrenen Kunden gehen Sicherheitslücken durch die Lappen. Wird eine Lücke ausgenutzt, sind die Auswirkungen extrem und andere Kunden werden in Mitleidenschaft gezogen. Deshalb ist es so wichtig, Sicherheitslücken so schnell wie möglich zu schliessen.

Lass uns den Rest doch direkt per E-Mail besprechen, wir finden garantiert eine passende Lösung. Wir melden uns.

Werner
Werner 16. Apr. 2015 10:10

Bravo. Ihr seid die Allerbesten. Wenn es euch nicht gäbe, müsste man euch erfinden. Weiter so.

Werner Walti
Werner Walti 16. Apr. 2015 10:04

Super Service! Ihr hebt euch von der Konkurrenz ab / einfach topp!!

aportmann
aportmann 16. Apr. 2015 10:03

sehr gut, fehlt nur noch contao :)

Peter Kälin
Peter Kälin 16. Apr. 2015 09:55

Danke für die super Erweiterung. Das ist eine durchaus nützliche Ergänzung. Ich bin einmal mehr froh, cyon.ch weiterempfehlen und für Kunden-Hostings verwenden zu dürfen :-)

Gérard Mathiuet
Gérard Mathiuet 16. Apr. 2015 09:52

Danke! Ich weiss, warum ich bei cyon bin und es auch bleiben werde.