[Typo3-UG Muenchen] Rückblick UG-Treffen am 20.07.

Christian Thoma christian.thoma at gmx.de
Mon Jul 26 17:12:00 CEST 2004 

Hi at all

[ @Felix : Schade das Du nicht kommen konntest.
           Klaro gibt eine kurz Zusammenfassung. ]

Wiedermal haben wir uns im Gasthof zur Post getroffen.
Diesmal mit vier neuen Gesichtern, davon auch ein
altbekanntes :) - Martin Klaus.

Nachdem der Hauptreferent (M.L.) sich nicht hat blicken
lassen, was ja an sich nicht dramatisch gewesen wäre,
aber er uns auch nicht rechtzeitig informiert hat
(das mit dem Bescheid sagen müssen wir nochmal üben ;) )
mussten wir spontan umdisponieren. Da der Martin sich
recht gut mit dem Core von T3 auskennt, haben wir uns
dann eines kleinen Security Beitrages von Ihm erfreut.
Dabei stellte sich folgendes heraus:

Grundlegen ist Typo3 abhängig von der Security, die PHP
und mySQL mitbringt. Bei vielen Firmen wird PHP als
unsicher eingestuft. Auf Grund vieler Verbesserungen in
diesem Bereich ohne das entsprechende Marketing ist der
Ruf immernoch dementsprechend, doch technisch scheint
diese Aussage wohl nicht mehr zu stimmen. Einer der Stan
"Anfängerfehler" die vor allem bei Plugin Programmierern
auftreten ist die Eingaben, die der Website User machen
kann, nicht zu überprüfen. Dadurch, kann beispielsweise
Java Code eingegeben werden, der durch spätere Surfer
aktiviert wird. Dieses Prinzip nennt man XSS
(oder lang: Cross Site Scripting), da in dem JavaScript
Informationen ausgelesen und an eine andere Website
geschickt werden. Auch können "SQL-Injections"
(das sind einfach nur SQl Befehle in einem Eingabefeld)
unter Umständen erlauben, die gesammte Datenbank zu
löschen. Deshalb liebe Typo3 Entwickler, macht euch
Gedanken zum Thema Sicherheit, besonders bei Plugins von
Anderen Entwicklern. Der Core an sich gilt bereits als
sicher, da Kasper schon an diese Überprüfung gedacht hat.
Er stellt auch eine library zur Verfügung, die HTML
Eingaben in Eingabefeldern rausfiltert. Wie die genau
heißt habe ich mir leider nicht gemerkt. Notfalls einfach
nochmal in der Liste fragen.

So weit so gut. Also nochmals vielen Dank an Martin Klaus
für den spontanen Einsatz.

Ich sag Servus bis zum nächsten mal im Gasthof zur Post
in Aschheim bei München. Immer jeden 3. Dienstag, 20.00Uhr

More information about the TYPO3-muenchen mailing list