Neu Verschlüsselte Plugins unter unverschlüsselt einsortiert

[mschop]

Hallo Zusammen,

Beispiel hier: https://www.jtl-software.de/jtl-sto...t-it-sicherheit/recht__4-06__unverschluesselt

(Ich habe explizit nach unverschlüsselten Plugins gesucht)

Dort sind Plugins von @webstollen aufgeführt, obwohl man diese Plugins gar nicht unverschlüsselt herunter laden kann. Nur weil kein Ioncube verwendet wurde, heißt das nicht, dass diese unverschlüsselt sind.

Gruß
Martin

 

[NETZdinge.de]

Und wo ist das Problem? Es funktioniert ohne ioncube und damit ist diese Hürde nicht gegeben. Darum geht es bei der Verschlüsselung. Oder warum brauchst du ein Plugin mit den Code im Klartext?

 

[mschop]

@NETZdinge.de
Wenn ich Plugins installiere, möchte ich die gerne vorher auf Qualität und Sicherheitslücken prüfen. Das geht nur, wenn diese tatsächlich nicht verschlüsselt sind. Zudem kann ich bei unverschlüsselten Plugin im Fehlerfall in den Plugin-Code schauen und etwaige Probleme schneller fixen.

Außerdem ist es AFAIK eine Performance-Bremse mit eval() (wie es in diesem Fall passiert) die Plugins zu obfuskieren. Soweit ich weiß kann dann nämlich der opcache das nicht sauber cachen. Das kann aber ggf. auch Halbwissen sein und ich müsste das nochmal nachprüfen.

 

[Jens Falk]

Wenn ich Plugins installiere, möchte ich die gerne vorher auf Qualität und Sicherheitslücken prüfen.

Wie wird das bei dem im JTL- Shop verschlüsselten Dateien gehandhabt?

 

[mschop]

Wie wird das bei dem im JTL-Shop verschlüsselten Dateien gehandhabt?

Der JTL- Shop ist Quelloffen. Daher können wir den Code ja vollständig einsehen. Und bei Plugin setzen wir nur entweder selbst entwickelte oder qualitative Quelloffene Plugins von Drittanbietern ein.

 

[NETZdinge.de]

Der JTL-Shop ist Quelloffen. Daher können wir den Code ja vollständig einsehen. Und bei Plugin setzen wir nur entweder selbst entwickelte oder qualitative Quelloffene Plugins von Drittanbietern ein.

😂😂😂

Da wirst du ein Problem haben… Hast du schon mal versucht das Rezept von Coca-Cola zu bekommen? Ist das gleiche Prinzip… Plugins von allen, die damit ihr Geld verdienen, werden wohl in irgendeiner Art verschlüsselt sein…

Es bleibt dir da wahrscheinlich nur selbst zu entwickeln…

Du kannst aber auch jedes Plugin testen und versuchen mögliche Sicherheitslücken auszunutzen. Dann weißt du ja, ob das geht, oder nicht…

 

[mschop]

@NETZdinge.de

Wir haben ein eigenes Dev-Ops-Team und bevor ich schlechte Plugins von Drittanbietern nutze, programmiere ich die lieber selbst. Dazu habe ich zu viel schrecklichen Code von Plugin-Herstellern und anderen Entwicklern gesehen, als das ich einem davon auch nur einen Zentimeter Traue.

Schaue dir doch einfach mal das Shopware-Ökosystem an. Shopware hat sich entschieden, sämtliche Plugins im Store zwangsweise Quelloffen zum machen. Und insgesamt wird das von der Community kaum ausgenutzt. Von daher zieht dein Argument mit "Coca-Cola" nicht. Zumal der Quellcode von Plugins selten irgendwie besonders oder schützenswert wäre. Manchmal habe ich eher das Gefühl, dass die Programmierer Angst haben, dass man den miserablen Code sieht.

Wenn ein Plugin gut programmiert ist und keine offensichtlichen Sicherheitslücken hat, bin ich gerne bereit, Geld bei dem Pluginhersteller zu lassen. Aber auch nur dann.

 

[martinwolf]

@mschop Das grundlegende Problem bei offenen Plugins: Man kann diese nicht mehr lizensieren, da diese zwingend verschlüsselt sein muss. Ansonsten kann man keine Plugins monetarisieren wenn jeder die Lizensierung aus dem Code entfernen kann, weil dieser quelloffen ist. Quelloffen sind in der JTL Welt grundsätzlich nur Plugins die kostenfrei angeboten werden, aus eben genannten Grund. Wenn das aus Deiner Perspektive keine hinnehmbare Situation darstellt, dann ist das so. Wird aber an der allgemeinen Situation nichts ändern.

 

[mschop]

@martinwolf

1. Wenn ich den Lizenzmechanismus entfernen wollen würde, hielten mich weder Ioncube noch die selbstgestrickten Alternativen davon ab. Beides ist nur dafür geeignet, den gewöhnlichen (nicht abwertend) Shopbetreiber fern zu halten. Aber es ist beides nur obfuskierung und daher nicht wirklich sicher.
2. Es würde ausreichen, nur den Lizenzmechanismus zu obfuskieren.
3. Siehe Shopware, da geht es ja auch.
4. Es ist für mich in Ordnung, wenn Plugin-Hersteller ihre Plugins obfuskieren und ich habe dafür Verständnis. Allerdings sollten obfuskierte Plugins dann nicht im JTL-Store als "unverschlüsselt" gekennzeichnet sein. Und das ist es ja eigentlich, worum es mir in diesem Thread geht.

 

[Jens Falk]

Obfuskiert ist nicht gleich verschlüsselt, also korrekt gekennzeichnet.

 

[mschop]

@Jens Falk Das ist dann aber eher Wortklauberei. JTL spricht bei Ioncube ja auch von verschlüsselt obwohl es eine obfuskierung ist.

Mich würden folgende Filter / Kategorisierungen im JTL-Store völlig zufrieden stellen:

- Quelloffen
- Teilweise Quelloffen
- Verschlüsselt
- Ohne Ioncube

Damit wäre doch alles klar.