»PHP? Nein danke!« sagt Würmtal Wireless Network

Die Betreiber von Würmtal Wireless Network, einem größeren WLAN-Projekt in Süddeutschland, haben sich vor ein paar Tagen schon entschieden, ihr PHP‐basiertes Portal erst einmal abzuschalten:

Das Portal-System des Würmtal Wireless Network bleibt weiterhin geschlossen, da es bisher immer noch keine sichere Alternative zum bisherigen verwendeten Community-Portal gibt das unter PHP lief. Da sich die Sicherheitsprobleme von PHP in letzter Zeit sehr massiv häuften […], entschloss sich das Administratoren-Team kurzerhand das Portal erst einmal komplett vom Netz zu nehmen und auch alle anderen auf PHP basierenden Systeme zu schliessen. Trotz Update auf das neueste PHP 5.2 bleiben die Sicherheitslücken bestehen, denn die Gefahr liegt in den mangelhaft programmierten PHP-Dateien der Portal-Programmierer die zum Beispiel SQL-Injections und XSS-Angriffe von Aussen ermöglichen.

 
Der Blog‐Autor hat konsequenterweise aufgrund der anhaltenden Probleme mit der Blog‐Software WordPress heraus sein Blog verlegt, um die Sicherheit seines Systems nicht unnötig zu gefährden.
Daß dies evtl. eine schlaue Idee war, zeigt ein aktueller Artikel auf Golem.de, WordPress: Cracker schleust Sicherheitslücke ein:

Einem Cracker ist es gelungen, eine kritische Sicherheitslücke in WordPress 2.1.1 einzuschleusen. […]
Gefährdet ist, wer in den letzten drei bis vier Tagen WordPress 2.1.1 heruntergeladen hat. Ein Cracker hatte sich Zugang zu einem der WordPress.org-Server verschafft und in die Download-Version eine Sicherheitslücke eingebaut, teilten die Entwickler mit. Zunächst wurde die Website offline genommen, mittlerweile ist sie aber wieder online.

 
Da stellt sich schon unwillkürlich die Frage, ob die Bewertung des Daniel Bachfeld, »Sicherheitsexperte des Computerfachmagazins c’t« zu Open‐Source‐Software vielleicht doch einen wahren Kern hat. Zum Datendiebstahl bei Studivz zitiert ihn Welt.de:

C’t-Fachmann Bachfeld glaubt, dass StudiVZ noch eine Menge lernen muss. So verwende das Unternehmen freie, sogenannte Open-Source-Software zur Erstellung der Internetseite. Bei solchen Programmen tauchten regelmäßig Sicherheitslücken auf. Bachfeld: “Offenbar scheint StudiVZ verfügbare Sicherheitsupdates nicht einzuspielen.”

 
Doof natürlich, wenn das Update selbst Backdoors aufweist. Einbrüche auf Entwicklugssysteme kommen auch bei größeren OSS‐Projekten leider immer wieder mal vor, wobei im Falle Debian von keiner Kompromittierung der bereitgestellten Downloads bekannt ist.
Die Aussage »bei solchen [Open‐Source‐] Programmen tauchten regelmäßig Sicherheitslücken auf« ist sicherlich richtig — in Anbetracht der Gigabytes, die ein aktuell gehaltenes Windows XP- oder Windows 2003-System schon an Patches hat über sich ergehen lassen müssen, fehlt mir da der relativierende Nachsatz »wie bei jeder komplexeren Software« …
Eine generell höhere Gefährlichkeit von OSS sehe ich jedenfalls nicht; wohl aber den Vorteil, daß der eine oder andere die Bugs vieleicht beheben kann und nicht alle Nutzer bis teilweise Sankt Nimmerlein auf das Bugfixing warten müssen.