I början av april, mitt i påskhetsen, uppdagades ett allvarligt säkerhetshål i Klarna-tillägget Klarna Checkout för WooCommerce. En säkerhetsuppdatering släpptes snabbt, men det var också klart att något mer allvarligt hade hänt. Vi skrev om det då, och pratade med Krokedil, som utvecklar tillägget i samarbete med Klarna, om läget.
Nu när allt har lagt sig så är det dags att ta ett snack med Krokedils Niklas Högefjord för att höra lite mer om vad som händer när ett säkerhetshål likt detta upptäcks, och vad man bör – eller kan – göra.
Många undrar nog hur det går till när ett säkerhetshål upptäcks i ett tillägg, som ert Klarna Checkout exempelvis. Eftersom det hände nyligen så kanske du kan berätta lite om det. Hur fick ni veta att det fanns ett säkerhetshål?
I det här fallet kom det en rapport via e-post till Klarna. Klarna meddelade sedan detta vidare till oss. Vi tittade närmare på rapporten, konstaterade att det rapporterade problemet stämde och skapade därefter en release som åtgärdade felet.
Det är praxis att inte informera vitt och brett direkt när det är kritiska säkerhetshål. Hur tänker man kring detta?
I det här fallet hade personen som rapporterade till Klarna (alternativt en bekant till den rapporterande personen) även kontaktat wpse.se och andra nyhetssajter om den aktiva säkerhetsluckan. Så bör man INTE göra. Korrekt sätt att rapportera en säkerhetsbrist är att kontakta pluginutvecklaren direkt alternativt via [email protected] om pluginet är publicerat på wordpress.org. På så vis får användare av pluginet en möjlighet att uppdatera till en säker version först, före informationen om problemet publiceras publikt.
Vad händer när ni informeras om ett allvarlig säkerhetshål?
Det är första gången det händer för oss så det här är en ny upplevelse. Ärendet får högsta prioritet. Vi för en intern dialog för att se vilken typ av problem det rör sig om och försöker sedan få ut en lösning på problemet så fort som möjligt.
Hur följs den här typen av händelser upp?
Vi har täta kontakter med Klarna för att gemensamt försöka nå ut till användare av pluginet och be dem att uppdatera till en säker version.
Internt hos oss har vi nu prioriterat färdigställandet av ett projekt för automatiserade tester av våra plugins. Det är ett arbete som pågått under en tid men där projektet ännu inte sjösatts. Nu har vi högsta prio på detta.
Vi förändrar även interna rutiner för hur vi publicerar nya versioner av våra plugin. En av åtgärderna är att vi alltid är fler än en utvecklare inblandad i en release för kontrollera den kod som publiceras och på så vis säkerställa att liknande händelser inte sker igen.
Vad står härnäst på tur för Krokedil och era tillägg?
Vi har flera plugins som vi jobbar på eller som befinner sig i en pilotfas. De två som vi kommer att släppa härnäst är nog en koppling vi valt att kalla Kroconnect. Den är tänkt som ett connector där man över tid kommer att kunna synka produkter och ordrar till flera olika system. Först ut är en integration till det svenska ERP-systemet Kodmyran Commerce. Dessutom lanserar vi snart en koppling till betaltjänsten till Avarda Checkout.
Tack till Niklas Högefjord på Krokedil för svaren på frågorna!
ℹ️ Transparens: Krokedil har sponsrat WPSE tidigare. Det har inte påverkat frågorna eller vår rapportering kring det här ärendet.