[TYPO3-german] TYPO3 Security | POST-Anfragen

[Michael Kasten]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo Michael,

> chinesischen Seite zu "manipulieren". Wenn TYPO3 deaktiviert wird, ist dies nicht mehr
> möglich, weshalb eine Fehlkonfiguration des Servers nicht infrage kommt und es scheinbar an
> TYPO3 liegt.

ähhm, du wirfst hier die unterschiedlichsten Ebenen in einen Topf!
Das kann trotzdem der Server sein, nur das sich die Fehlkonfiguration nicht in jedem Projekt
bemerkbar macht.
Falsche Berechtigungen, falsches PHP Setting, irgendwelche Dienste die da laufen, was du siehst
sind doch nur die Folgen.

> dass diese POST-Anfragen (oder auch GET) verarbeitet werden?

Ich habe nun schon einige manipulierte Instanzen gesehen, der Missbrauch findet mit
unterschiedlichsten Zielsetzungen statt.
Wo kommen die POST Anfragen her? Tatsächlich von Extern?
Wieso muss dein Server Externe POST Daten annehmen, warum sollte dein Server darauf reagieren?
Wie wäre es mal die Chinesische IP Adressrange in der FW des Servers zu blocken?.
Da sehe ich schon mal ein paar Punkte die serverseitig eben nicht betrachtet werden (und das
sollte man tun bevor man sich in der Anwendung rumtreibt)

> Ich weiß, dass die 4.7er abgelaufen ist, aber mir ist bisher keine Sicherheitslücke bekannt.
Was nicht heißt das es keine gibt, sonder nur bedeutet es werden keine gemeldet, ich weiß nicht ob
der CORE nun tatsächlich noch aktiv gepflegt wird, denke aber der Focus liegt auf anderen Versionen

> habe ich etwas übersehen? Auch ist ein Update auf 6.2 nicht mal eben machbar.
Nein mal eben machbar ist das nicht, die Roadmap ist aber nun auch schon etliche Monate/Jahre bekannt.

Also ich würde zuerst mal auf Serverebene gucken was kann ich da alles wegblocken
Dann würde ich mir die Möglichkeiten auf Anwendungsebene mal ansehen
(captcha u.ä. auch wenn das nicht mehr viel hilft)
Aktuelle Formulare arbeiten meist mit einem Tocken um genau solche Fälle zu verhindern.
Dann würde ich mal die Instanz genau betrachten, den Core aktualisieren (hier finden sich dann oft
manipulierte PHP Dateien)


bye




> 
> Würde mich über Hilfe sehr freuen!
> 
> Viele Grüße Michael _______________________________________________ TYPO3-german mailing list 
> TYPO3-german at lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

- -- 
Michael Kasten | http://m-kasten.de
Im wirklichen Leben gibt es kein [Strg]+[Z]
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1

iQEcBAEBAgAGBQJVCD7BAAoJEF1/iIvWnG8NtnMH/1uRXX+JdwlKJlCLCdXIenD3
ZdlAaDT8cbAV73YFGjRahtoY5Jl994Ce+pwdZcMV6RQqtEhtDi4gT+RN8v0BOnLY
pAL6V9h1Bri0yjxRifsaS1CF59G0hPOXsD3mZ+od/UiH/8fSslNxHMRQO5wX+2JL
U/hxAK9Nubxq54ds0tLyKn1K6FxjjMlwrzL9ke7WdLD0J92LEW2WcmEbocfH62Jy
eYZB1zo+WNC9Bu3Cggt6G1Be/Sd5DGJ7h8tGwrUIQ06peuZ0aSV4uu04FdRcp1Vl
FYxHONl15Su1xeilxDYqtP5xyjbNvktdEX4BQsxpRqM4FbiqFbyv6MvYyeIVi44=
=uWUe
-----END PGP SIGNATURE-----