Drupal UserGroup Bodensee

Drupal UserGroup Bodensee

Die Gruppe für Drupalisten rund um den Bodensee. Treffen finden 4 x pro Jahr in Konstanz statt. Teilnahme kostenlos. www.drupal-bodensee.de

Jürgen Haas Jürgen Haas PremiumModerator

Die Innovationskraft in Deutschland

Da wir gestern abend darüber gesprochen haben, hier der Link auf die Studie des Harvard Business Review zum Vergleich der Innovationskraft zwischen Deutschland und USA.

Kai Gertz likes this.

Gunnar Neef
1 more comment
Last comment:
Gunnar Neef Gunnar Neef Moderator

Es sind doch alles die alten Player, welche Innovation hat denn in DE in den letzten Jahren zu einem neuen Unternehmen oder Markt geführt – eben abgesehen von den US Kopien?

Die Old Economy in DE und Europa hat gegenüber den USA den Vorteil, dass ihr Markt kleiner ist, das zwingt zu mehr Wettbewerb. Durch ihren großen Heimatmarkt sind die US Unternehmen z.T. träger … z.B. die US Automobil Industrie.

Ich glaube, das ist eher der Punkt.

Jürgen Haas Jürgen Haas PremiumModerator

Diskussion zum Verein Drupal e.V.

Habt Ihr gewusst, dass es einen Verein Drupal e.V. gibt? Es gibt jedenfalls eine aktuelle und sehr interessante Diskussion dazu hier: https://groups.drupal.org/node/421033

Mich würde hier Eure Meinung interessieren: braucht es einen Verein und wenn ja, was sollte dieser eigentlich tun?

Kai Gertz likes this.

Jürgen Haas Gunnar Neef Kai Gertz
+3 more comments
Last comment:
Jürgen Haas Jürgen Haas PremiumModerator

Du sprichst mir aus der Seele!!! Genau darauf wolle ich hinaus. Schon seit vielen Jahren habe ich genau dieses Problem. Jetzt mit dem Verein, vorher aber auch schon mit drupalcenter.de - OK, da gibt es vielleicht eine Sprach-Barriere. Aber wenn wir in Deutschland meinen, wir sollten eine egene isolierte Support-Plattform aufbauen und nutzen, dann geht das für mich am Ziel vorbei. Es werden Ressourcen verschwendet und die globalen Gurus rund um Drupal bekommen gar nicht mit, welche ungeklärten Fragen hier im kleinen Deutschland rumliegen und am Ende sogar zu negativer PR führen, weil ja für Unbedarfte der EIndruck entstehen muss, dass es relativ unprofessionel zugeht.

Ich überlege, ob ich in diese Richtung mal in dem Thread kommentieren soll.

Gunnar Neef Gunnar Neef Moderator

Amazee Labs mit neuer Drupal 8 Agentur Website!

Wow! Amazee Labs hat eine neue Website und zwar auf der Alpha Version von Drupal 8! Extrem gelungen – wie ich finde: "We are happy to be the proud owners of the world’s first responsive and multilingual Drupal 8 agency website" http://www.amazeelabs.com/

Kai Gertz likes this.

Kai Gertz Kai Gertz

Die Leute von Amazee Labs haben da mal wieder sehr vorbildliche Avantgarde-Arbeit geleistet. Wie der Schweizer sagt: Chapeau!

Jürgen Haas Jürgen Haas PremiumModerator

Ist Drupal für sicherheits-relevante Anwendungen geeignet?

Mittlerweile ist mein Schock-Zustand abgeklungen. Es hat einige Stunden gedauert, bis ich mich wieder beruhigt habe. Nun frage ich mich selbst, ob ich mit meiner Einschätzung komplett daneben liege oder ob doch der Absender einer Email, die mich heute erreichte einer Fehleinschätzung seiner IT-Sicherheitsexperten verfallen ist. Das klingt irgendwie harmlos, aber ich versuche hier erst mal, eine subjektive Bewertung draussen zu lassen und den Sachverhalt verständlich zu machen.

Was war geschehen?

Ich habe für einen Kunden ein Intranet auf Basis von Drupal entwickelt, auf dem sämtliche Geschäftsprozesse inklusive CRM, Abrechnung, Verträge mit seinen Kunden, etc. abgewickelt wird. Also eine durchaus anspruchsvolle Anwendung.

Dieser Kunde hat nun eine Ausschreibung für das Hosting der Anwendung gemacht und von einem durchaus namhaften Anbieter folgende Antwort bekommen:

>>>>>>>>> Zitat Anfang:
wir haben die Möglichkeit, [Anwendung] (auf Basis 'DRUPAL') in unseren Hause zu hosten, mit unseren Betriebs- und IT-Sicherheitsverantwortlichen ausführlich geprüft. Wir sind dabei zu folgendem Ergebnis gekommen:
[Anbieter] würde schon durch das Hosting von [Anwendung] zum Auftragsdatenverarbeiter im Sinne des BDSG. In dieser Rolle haben wir eine Beratungspflicht, der wir nachkommen, indem wir Ihnen raten müssen, keine personenbezogenen Daten mit dem OpenSource CMS Drupal zu verarbeiten.
Begründung: unter http://drupalsecurityreport.org/aggregator/sources/1 findet man eine Liste der Security Announcements. Darin findet man ein bis zwei Announcements der Stufe "Highly Critical" pro Jahr. Besonders ein Exploit wie dieser http://nmap.org/nsedoc/scripts/http-drupal-enum-users.html sollte in einer Anwendung, mit der personenbezogenen Daten verarbeitet werden, nicht vorkommen.
>>>>>>>>> Zitat Ende

Ehrlich gesagt blieb mir da erst mal die Spucke weg. Glaubt der Anbieter wirklich, dass ein transparenter Sicherheits-Prozess, der die Fehler publiziert damit diese behoben werden können, gefährlicher ist als die selben oder vielleicht noch schlimmeren Fehler, die in ClosedSource drin sind, nur weil Sie dort keiner sieht?

Das hört sich an wie Security by Obsurity. Oder anders gesagt: Wenn die Fehler nicht öffentlich sind, dann schaden die nicht? Na, in dem Fall würde ich denen einfach viel Glück beim Versteck-Spielen wünschen aber niemals irgend eine Anwendung dort hosten.

Aber vielleicht liege ich ja auch komplett daneben. Mich würde mal interessieren, wie die Gruppe das sieht. Lasst von Euch hören.

Jürgen Haas
1 more comment
Last comment:
Jürgen Haas Jürgen Haas PremiumModerator

Der Anbieter setzt bei seinen eigenen Anwendungen Apache 2.2.3 ein! 8 Jahre alt, hoppla. Ja, auch OpenSSL ist im Einsatz, aber ebenfalls veraltet so dass Heartbleed nicht zum Problem wurde. Darüber hinaus ist aber deren SSL so schlecht konfiguriert, dass ein einfacher Test bei ssllabs.com offen legt, dass dort sogar DOS-Attacken möglich sind.

Mittlerweile hat es weiteren Informations-Austausch gegeben und es läuft darauf hinaus, dass der Anbieter aufgrund fehlenden Drupal-Know-Hows diese Plattform gar nicht hosten will bzw. kann. Erstaunlich nur, dass er dann trotzdem anbietet und implizit einen Plattformwechsel empfiehlt oder verlangt, obwohl 4 Jahre Individual-Entwicklung in die Plattform geflossen sind. => Disqualifiziert !

Was mich nur ärgert ist die Tatsache, dass ein eigenlich positiver Prozess (hier: transparenter Umgang mit Sicherheits-Problemen bei Drupal) dann zu solchen Einschätzungen führt. In bestimmten Zusammenhängen können solch inkompetenten Kollegen dann wirklich geschäftsschädigend werden und wir haben nur wenig Chancen, uns zu wehren.

Es sei denn, wir betreiben pro-aktiv Aufklärungsarbeit - mal wieder.