Hoe het in de praktijk vaak gaat met security: iemand ontdekt een gat, meldt dat netjes en stelt publicatie uit. Het gat wordt gedicht, maar ondertussen zijn er vijftien nieuwe gaten...

Karma in security's relaas van z'n jarenlange ervaring met SugarCRM zijn tekenend. In plaats van bij te leren, zijn ze alleen goed in het opwerpen van dammen, die de researcher alleen maar vertragen. Daaruit blijkt niet alleen dat ze het niet snappen, er blijkt ook uit dat ze 't niet willen snappen. Wie zet nu de backups van een aantal klanten op een semi-publiek toegankelijke ftp-server, bv?

http://karmainsecurity.com/tales-of-sugarcrm-security-horrors

Enfin, de geïnteresseerde leest zelf maar. Daarna kan je alleen nog hoofdschuddend grinniken, vrees ik.

Iemand SugarCRM gebruiker op 't werk?

We hebben "(SugarCRM)" aan de titel toegevoegd, zodat het meteen duidelijk is waar het hier om gaat.

Dit stukje aan het eind vond ik interessant.

Furthermore, some recent rumors are saying that Apple is going to launch its own CRM system based on SugarCRM… Well, I reckon that Apple security engineers have done a good work reviewing their new system and fixing all of the security bugs inherited from SugarCRM, otherwise also Apple customers might be at risk when their new “Apple CRM” will be alive. So this is the end, I really hope this blog post will make improvements towards the security of the SugarCRM ecosystem.

Tsja, Apple is daar erg grondig in. En erg "secretive"...

Soms helpt "security through obscurity" ook echt.