Tracker: World of Tomorrow (WoT)
Source: Nicht bestimmbar
Schon frühzeitig hatte uns der WoT Coder angeschrieben und nach einer erneuten Überprüfung gefragt. Die Kommunikation mit dem Tracker war angenehm und auf Feedback wurde angemessen reagiert.
Im Vergleich zum letzten Check, haben sie nun auch endlich die richtige Domain registriert und der Tippfehler ist verschwunden.
Serversicherheit
Viel Neues gibt es nicht zu sagen. Postfix läuft immer noch auf Port 25 (Mail-Eingangsserver ist überflüssig). Ansonsten hat sich an der Serverkonfiguration im Vergleich zum letzten Review nicht viel geändert. SSH wurde z. B. etwas aktualisiert und liegt nicht mehr auf dem Standardport.
OS: Linux, Debian
DB: MySQL 5.x
SMTP: Postfix
Webserver: Apache
SSH: OpenSSH 6.7p1 Debian 5+deb8u7
Trackersicherheit
Im letzten Security Review hatte WoT noch eine NV-Source. Was genau die neue Source für eine ist, konnten wir nicht weiter bestimmen. Womöglich basiert die Source auf einer der bekannten Älteren nur mit einem aktualisierten Frontend. Die letzte Source war offen wie ein Scheunentor. In der Jetzigen konnten wir allerdings keine Sicherheitslücken finden.
Fazit
Auch wenn der Tracker mit der neuen Source einen guten Eindruck macht, müssen wir an dieser Stelle trotzdem eine kleine Warnung nachschieben. Mit der letzten Source ist WoT sehr negativ aufgefallen und es gab einen Haufen Lücken zu finden. Hierfür kann es verschiedene Gründe geben. Wir sind in interne Abläufe natürlich nicht eingeweiht, aber letztendlich ist der Entwickler für die Sicherheit des Trackers verantwortlich. Der Entwickler ist nach wie vor der selbe, weshalb man dieses Review trotzdem mit Vorsicht genießen muss. Nur weil wir aktuell keine Lücken gefunden haben, muss es nicht so bleiben. Womöglich wurden auch Lücken übersehen.
Unsere Reviews können immer nur mit sehr eingeschränkten Mitteln durchgeführt werden, da wir natürlich keinen Zugriff auf den Code und den Server haben. Ebenfalls kennen wir die Verantwortlichen nicht und haben keine Kenntnisse von Qualifikationen und Ausbildungen. Dies bedeutet, dass sich Bedingungen mit der Zeit ändern können. Von uns als sicher bewertete Tracker können bei Fahrlässigkeit, Faulheit oder Unwissenheit unsicher werden. Das gilt umgekehrt natürlich genauso.
Lange Rede kurzer Sinn: Die neue Source ist solider als die vorherige, bietet weniger Features und konzentriert sich auf das Wesentliche. Das muss nichts schlechtes sein und ist in diesem Fall sogar eher positiv. Da keine bedenklichen Sicherheitslücken gefunden wurden, bewerten wir den Tracker mit der neuen Source als Safe. Insbesondere der Austausch mit dem Staff dort hat uns gut gefallen und hinterlässt einen positiven Eindruck.
Bookmarks