<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html lang="de" xml:lang="en" xmlns="http://www.w3.org/1999/xhtml"><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /><title></title><style type="text/css">html,body{background-color:#fff;color:#333;line-height:1.4;font-family:sans-serif,Arial,Verdana,Trebuchet MS;}</style></head><body><p>Hi Jens,</p>

<p>diese Warnungen sind leider weder in die eine, noch die andere Richtung vertrauenswürdig.<br>Die Checks wurden neu eingeführt und leider ohne Vorwarnung auf alte Plugin-Versionen ausgeführt.<br>Es gibt *viele* False Positives, wo Dinge als Sicherheitslücke markiert wurden, die keine sind. Es gibt kein menschliches Review, wo die Funde auf ihre tatsächliche Relevanz hin untersucht werden.</p>

<p>Bei Plugins, wo ich die Scan-Resultate kenne, sind z. B. auch Netzwerkaufrufe ohne Timeout als kritisch markiert, da würde im schlimmsten Fall aber "nur" QGIS einfrieren. Oder es wird XML ohne spezielle Vorsicht verwendet, wo theoretisch jemand einem bösartig präparierte XML-Dateien aufschwatzen könnte, aber auch das müsste ja erstmal passieren.<br><br>Der Hintergedanke der Checks ist super: Sie sollen bei neuen Uploads von Plugins laufen und blockieren dann erstmal die Veröffentlichung neuer Versionen. Dann sehen die Autoren, was der Scan als mögliche Sicherheitsprobleme ansieht und können es fixen.<br><br>Also erstmal: *Keine Panik!* Die Wahrscheinlichkeit, dass ein Plugin tatsächlich eine Sicherheitslücke hat, ist gering. Und dass sie von extern ausgenutzt werden könnte oder gar bösartig eingebaut wurde, noch viel viel kleiner.<br>Es ist aber eine super Erinnerung, dass man eigentlich jedes Plugin vor der Installation eingehend prüfen sollte ;)</p>

<p>Viele Grüße<br>Hannes</p>

<div ></div>

<p>Jens via FOSSGIS-Talk-Liste schrieb am 23.04.2026 13:38 (GMT +02:00):</p>

<blockquote cite="mid:mailman.80.1776945529.723.fossgis-talk-liste@fossgis.de">

<pre>-- 

....................................................................

FOSSGIS-Konferenz 2027 mit OpenStreetMap-Event in Heidelberg!

09.-13. März 2027                

<a href="https://www.fossgis-konferenz.de/" target="_blank" rel="nofollow noopener" title="https://www.fossgis-konferenz.de/">https://www.fossgis-konferenz.de/</a>

FOSSGIS Vereinstermine:

<a href="https://fossgis.de/aktivit%C3%A4ten/termine/" target="_blank" rel="nofollow noopener" title="https://fossgis.de/aktivit%C3%A4ten/termine/">https://fossgis.de/aktivit%C3%A4ten/termine/</a>

FOSSGIS e.V, der Verein zur Förderung von Freier Software aus dem

GIS-Bereich und Freier Geodaten!

<a href="https://www.fossgis.de/" target="_blank" rel="nofollow noopener" title="https://www.fossgis.de/">https://www.fossgis.de/</a>         

<a href="https://mastodon.online/@FOSSGISeV" target="_blank" rel="nofollow noopener" title="https://mastodon.online/@FOSSGISeV">https://mastodon.online/@FOSSGISeV</a>

____________________________________________________________________

FOSSGIS-Talk-Liste mailing list

FOSSGIS-Talk-Liste@fossgis.de

<a href="https://lists.fossgis.de/mailman/listinfo/fossgis-talk-liste" target="_blank" rel="nofollow noopener" title="https://lists.fossgis.de/mailman/listinfo/fossgis-talk-liste">https://lists.fossgis.de/mailman/listinfo/fossgis-talk-liste</a>

</pre>

</blockquote></body></html>