XSS bei All-Inkl (Kommentar) [DE]

Kommentar zu einem Artikel bei Heise Security:
https://www.heise.de/security/meldung/c-t-deckt-auf-Webmail-Oberflaeche-von-All-Inkl-com-angreifbar-4699931.html

Mir hat sich die Beliebtheit dieses Hosters nie ganz erschlossen, ich selbst empfehle seit einem Jahrzehnt meinen Kunden verschiedenste Anbieter von Amazon Web Services über PHP-Friends zu Ionos. Ob Cloud oder VServer, ob klein oder groß. Trotzdem kommen über 50% der Kunden und Anfragen in irgendeiner Weise in Berührung mit All-Inkl und ich somit auch – unfreiwillig. Zugegeben, der Support ist meist sehr nett und hilfsbereit. Das tröstet aber wenig über die in die Jahre gekommene Technik hinweg. All-Inkl mag mit seinen 1€-Paketen Sinn machen für Schüler, Studenten und Hausfrauen / -männer. Rechnet man mal dagegen, welchen Mehraufwand die alte Technik verursacht, ich koste immerhin 105€ / h, lohnt es sich wirklich ein paar Euro zu „sparen“?

Die WordPress-Installation bei All-Inkl ist mangels Log-Files (theoretisch vorhanden, praktisch nicht aktivierbar) und verschiedener anderer Ursachen ein Glücksspiel. Das DNS… kein Kommentar. FTP nutze ich auf Kundenservern seit 5 Jahren nicht mehr, weil es unsicher ist und sich nicht ordentlich firewallen läßt – Mozilla hat eben erst beim FTP nachgezogen – bei All-Inkl (fast) der einzig mögliche Übertragungsweg, da das Upload-Limit im Webinterface nur selten für ausgewachsene Webinstallationen reicht. Der durchschnittliche Upload dauert 1,5h statt ein paar Minuten, gespickt mit Übertragungsfehlern, danach kann man schauen, wie man sich die Permissions zurecht biegt.

In Sachen SEO und Geschwindigkeit ebenfalls keine Glanzleistungen. Wieso also All-Inkl?

In diesem Vorfall hat All-Inkl superschnell reagiert, Kompliment, so geht’s richtig. Wie lange allerdings die Lücke schon unbemerkt bestand? Ionos hat eben erst sein komplettes Angebot überarbeitet und dabei offenkundig keine Kosten gescheut. Nur bei All-Inkl scheint man Webentwickler nicht sonderlich zu mögen. Das ist ein Fehler.

Ich jedenfalls sage seit Jahren: All-Inkl, das müssen Sie aber dann selbst machen, ich fasse es nicht mehr an.

MG