H Ομάδα Ασφάλειας του Joomla (Joomla Security Team - JSST) ανταποκρίθηκε στη σχετική πρόσκληση και συμμετείχε στο CMS Security Summit, που οργανώθηκε από τη Google και πραγματοποιήθηκε στις 30 Ιανουαρίου στο Σικάγο. Οι επικεφαλής της JSST, David Jardin και Tobias Zulauf ταξίδεψαν στο Ιλινόις και συναντήθηκαν με επικεφαλείς ομάδων ασφάλειας άλλων CMS, παρόχων φιλοξενίας ιστοσελίδων και, ασφαλώς, μιας ομάδας στελεχών της Google που εκπροσωπούν διάφορα έργα και πρωτοβουλίες της εταιρείας.
Μια τέτοια προσωπική επαφή με στελέχη από άλλα CMS (WordPress, TYPO3 και Drupal) και άλλους παράγοντες από το οικοσύστημα μας (όπως το lead security της Symfony) ήταν μια πολύτιμη εμπειρία για τους ανθρώπους του Joomla. Άλλωστε η δουλειά στον τομέα της ασφάλειας στην πληροφορική βασίζεται στην "εμπιστοσύνη", από πολλές πλευρές. Με αυτή την έννοια, η συνάντηση με επαγγελματίες που και αυτοί ασχολούνται με την ασφάλεια, και η ανάπτυξη προσωπικών σχέσεων, οικοδομούν ακριβώς αυτό το κλίμα εμπιστοσύνης, που είναι ιδιαίτερα χρήσιμο όταν μελλοντικά θα προκύψουν ζητήματα επικοινωνίας ανάμεσα σε διάφορες πλατφόρμες ανοικτού κώδικα.
Εκτός από αυτά τα μάλλον "σιωπηρά" αποτελέσματα, εντοπίσαμε επίσης διάφορα συγκεκριμένα ζητήματα που όλους μάς απασχολούν και όπου η συνεργασία μεταξύ διαφόρων έργων θα ήταν, συνολικά, ιδιαίτερα επωφελής:
- Φιλτράρισμα ζητημάτων ασφάλειας από την πλευρά του διακομιστή σε συνεργασία με τους παρόχους φιλοξενίας
- Ανάπτυξη έργων που στοχεύουν στην Ασφάλεια Περιεχομένου (Content Security Policy - CSP) για την πρόληψη των επιθέσεων XSS
- Εφαρμογή των πιο πρόσφατων λειτουργιών ασφαλείας που ενσωματώνονται στα προγράμματα περιήγησης, όπως λχ όπως η δυνατότητα να απενεργοποιηθούν από τον χρήστη συγκεκριμένες λειτουργίες που δεν χρησιμοποιεί ο ιστότοπός σας
- Χρήση των SameSite Cookies
- Πρωτοβουλία για τον προσδιορισμό απαιτήσεων ενός ασφαλούς μηχανισμού αυτόματης ενημέρωσης
- Μετάβαση σε πρότυπα όπως το PSR-9 (Security Advisories) και το PRS-10 (Process Reporting Process)
- Εξέταση της πρότασης TrustedTypes, με στόχευση στην αποτροπή των επιθέσεων XSS.
Γενικά, ήταν ένα εξαιρετικό γεγονός και ένα πολύ καλό σημείο εκκίνησης για να παρέχουμε περισσότερη ασφάλεια για όλους τους χρήστες μας και να βελτιώσουμε το επίπεδο της συνεργασίας μεταξύ των επαγγελματιών του κλάδου με στόχο ένα ασφαλές διαδίκτυο.
Καταλήγοντας θα θέλαμε να ευχαριστήσουμε την Google για την πρόσκληση και την άρτια οργάνωση καθώς και για τους άλλους συμμετέχοντες για μια τόσο μεγάλη διάσκεψη με πολλές και θετικές συζητήσεις. Προσβλέπουμε σε περισσότερες παρόμοιες εκδηλώσεις και σε συνεργασία μεταξύ των επαγγελματιών του κλάδου, προς όφελος όλων των χρηστών μας.
