In theorie is er geen verschil tussen theorie en praktijk

Drupal | E-Commerce | Google | Marketing | SEO | Social media | Usability | Webdesign

Drupal maakt updaten veiliger met beveiligde verbinding

Drupal CMS

Drupal geldt als een van de meest gebruiksvriendelijke en toch geavanceerde Content Management Systemen (CMS’s). Onlangs kwam er kritiek op de manier waarop het platform updates verspreidt, die zou niet veilig zijn. De kritiek kwam onder andere van Fernando Arnaboldi, de ontwikkelaars achter Drupal hebben daar inmiddels op gereageerd en de systemen aangepast om de updates veiliger te laten verlopen.


Kritiek op updates van Drupal

Er kwam begin januari kritiek op de wijze waarop Drupal updates voor het CMS verspreidt. Het is van belang om het systeem tijdig te updaten naar de meest recente versie, bijvoorbeeld om risico’s op succesvolle aanvallen van buitenaf zo klein mogelijk te maken. Het is wat dat betreft niet vreemd dat specialisten bijvoorbeeld de veiligheid van die updates zelf goed in de gaten houden.

Uit onderzoek van Fernando Arnaboldi bleek dat de updates van Drupal niet via een veilige verbinding werden verspreid. Dat betekent in de praktijk dat hackers de kans hebben om de bestanden voor de update ongemerkt te wijzigen, waardoor de veiligheid van een website juist af zou nemen in plaats van toe zou nemen.


Kans op een aanval klein

In internetjargon spreken we bij een dergelijke aanval van een ‘man-in-the-middle attack’, volgens de ontwikkelaars is het risico op een dergelijke actie van hackers over het algemeen klein. De ontwikkelaars geven aan dat website-eigenaren daar niet zomaar mee te maken zullen krijgen, waardoor de risico’s aan het begin van dit jaar groter werden gemaakt dan ze daadwerkelijk zijn.

Toch was het volgens hen lastiger dan nodig om te waarborgen dat de updatebestanden de juiste zijn en dat een website-eigenaar daar veilig gebruik van kan maken. Het team heeft daarom besloten om wel degelijk actie te ondernemen. Inmiddels is het updaten van Drupal weer volledig veilig, omdat er sprake is van een beveiligde verbinding.


Drupal updates via Drush

Het is verstandig om de updates voor Drupal te downloaden via Drush. Dit is een shell- en scriptingsinterface voor Drupal, op basis van een commandoregel-interface. De downloads binnen deze methode vinden nu plaats via een SSL-verbinding. Deze verbinding is beveiligd, waardoor hackers niet zomaar de mogelijkheid hebben om bestanden te wijzigen of op een andere manier voor problemen te zorgen.

Drush is op dit moment de meest veilige methode om Drupal updates te downloaden. Ook op de projectpagina’s van Drupal staan inmiddels links die zorgen voor een download via SSL. De ontwikkelaars hebben tevens aangegeven dat zij de core-module zullen aanpassen om het bijhouden van de updatestatus en het controleren van de versie via deze beveiligde verbindingen plaats te laten vinden.

Op die manier is er een passend antwoord geboden op de kritiek van begin januari en kunnen website-eigenaren weer veilig zorgen voor de updates van hun Drupal website.