[TYPO3-UG-Muenster] Fürs Archiv: UG-Treffen von gestern, 13. Okt. 2008
Martin Bless
m.bless at gmx.de
Tue Oct 14 11:31:25 CEST 2008
Gestern Abend, Usergroup-Treffen: Wie war's? Mal schauen, was die
Notizen hergeben. Ist manchmal ein wenig heißblütig, der
Gedankenaustausch, so dass es schwierig ist, da zu passenden Notizen
zu kommen.
Im Großen und Ganzen ging es um T3CON08, Security und etwas Typoscript
und den üblichen Hosting-Smalltalk. Und natürlich wie immer um das
Tutorial "Typoscript in 45 Minuten" (oder länger ;-) von Martin Holtz
und Co. Jetzt auch als Extension:
http://typo3.org/extensions/repository/view/ts45min_de/current/
Dowloaden, und bei Gefallen raten! Am besten immer raten.
Security, live hacking:
Tobias hat was gezeigt. Als Fazit sage ich mir: Beschäftige dich mehr
mit Google! Was da etwa eine Suche nach:
intitle:"index of" inurl:fileadmin
zu Tage fördert! Ursache dieser Probleme: Der Apache Webserver läuft
mit der "Indexes" Option "ON". Das sollte generell keinesfalls
eingeschaltet sein. Anders als wir gestern dachten, steht diese Info
jedoch noch keineswegs im TYPO3-Security Cookbook, dass man unbedingt
kennen sollte:
http://typo3.org/teams/security/
Man kann keineswegs mehr sagen, dass die Security Informationen auf
typo3.org schlecht zu finden sind. Insbesondere die
http://typo3.org/teams/security/security-bulletins/
sind natürlich etrem wichtig, da die dort veröffentlichten Infos ja
gleichsam offiziell verkündete Exploit-Möglichkeiten sind, die man den
"Gästen" dann nicht mehr bieten sollte.
Die Bulletins werden jeweils aktuell in der
http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-announce
Mailingliste veröffentlicht. Dort sollte man sich unbedingt eintragen.
Man wird da nicht gerade mit Traffic zugeworfen, vielmehr ist das, was
kommt, wichtig. Leider ist die Announce-Liste NICHT per Newsreader
verfügbar, was ich für einen Fehler halte. Ich konnte aber noch keine
Änderung bewirken.
Todo:
Wir sollten dafür sorgen, dass der Hinweis auf "Abstellen von
Indexing" ins Security-Cookbook aufgenommen wird.
Apropos Indexing:
Wenn man das gezielt benutzt und einschaltet, sind die Stichworte
'FancyIndexing' und 'nameWidth=*' von Interesse. Ich habe da zB eine
.htacces liegen mit der Zeile:
IndexOptions FancyIndexing NameWidth=* IgnoreCase
So kann man wie in
http://mbless.de/4us/s/python/ee8627b6/
elegant Download- und Infobereiche anlegen, in denen auch beliebig
lange Dateinamen vollständig angezeigt werden.
Security:
Wer Sicherheit garantieren will, muss wissen, wie die Angreifer
denken. Man Suche nach exploit, hack*, md5, usw. Apropos: "md5
database" führt zB zu Datenbanken wie
http://md5.rednoize.com,
in der jede Menge Hashes zur Rückwärtssuche enthalten sind. So sagt
mir etwa
http://gdataonline.com/seekhash.php
sofort, dass bacb98acf97e0b6112b1d1b650b84971 => joh316 ergibt.
http://md5.rednoize.com dient auch der Rückwärtssuche. Allerdings
haben die wohl doch nicht alle Hashes für Passwörter mit weniger als 7
Zeichen vorrätig. Hab's gerade mal mit 6 Stellen, nur Ziffern und
Ascii-Buchstaben probiert: Konnte er nicht.
Achtung mit Google-Analytics: Da gärt was:
https://www.datenschutzzentrum.de/presse/20080807-google-analytics.htm
https://www.datenschutzzentrum.de/tracking/20080702-anschreiben-google-analytics.pdf
https://www.datenschutzzentrum.de/tracking/20080703-anschreiben-webseitenbetreiber.pdf
Vergleiche auch die Info von Friedrich Gerken hier im Forum:
http://lists.netfielders.de/pipermail/typo3-ug-muenster/2008-October/000220.html
Ist Google Analytics "schlimm"?: Geteilte Auffassungen. Auf jedenfall
ist's praktisch. Ergebnismails kann man sich oder dem Kunden ja sogar
regelmäßig per Mail schicken lassen. Und man kann sich Lösungen
vorstellen, die rein Server-seitig laufen und das Tracking nach außen
hin überhaupt nicht erkennbar machen, wie der ClickStream Analyzer
http://typo3.org/extensions/repository/view/alternet_csa_out/current/.
Und, ach nee: Google-Maps auf einem Handy im Browser gestartet (kein
I-Phone), "weiß" über die Empfangszelle an welcher Postition man sich
ungefähr befindet. Aus dem Handy? Wenn nicht: "Skandal!"
Typoscript, Security, Suchmaschinenmarketing:
Man informiere sich über config.linkVars, zB hier:
http://www.typo3.net/tsref/setup/config Bei falscher oder fehlender
Konfiguration kann es passieren, dass jemand ein
?L=http://bloedsinn.irgendwo an die Links der eigenen Seite anhängt
und zum geeigneten Zeitpunkt in den Seitencache einschmuggelt. Google
liest sich das Zeug dann durch und veröffentlicht es. Es handelt sich
NICHT um eine TYPO3-Sicherheitslücke, sondern um ein (Mis-) Feature,
das auf anderer Ebene (2nd level abuse?) zu Missbrauch führen kann.
Auf jedenfall kann man ungewollt in die Nähe unerwünschter Inhalte
gestellt werden. Deshalb: Aufgepasst!
T3CON08: Großes Lob an Tobias für seinen begeistert-begeisternden
Kurzbericht über den Stand von FLOW3. Fazit: Das wird ja was! Außerdem
sollten wir Tobias als Kandidat beim nächsten
Schnellsprecherwettbewerb nominieren. Ich sage nur: Buzzwords,
buzzwords, summsummserum: FLOW3, DDD, ORM, AOP, REST-Services, JSR283,
...)
Ich konnte leider nicht alle aufschnappen, schlage aber unbedingt vor,
dass wir ein FLOW3-Bullshitbingo entwickeln, ähnlich wie es sie hier
gibt:
http://www.hjsv.com/games/bingo/bingo-d.html
http://de.wikipedia.org/wiki/Bullshit-Bingo
Das ist durchaus ernstgemeint, denn es macht Spaß, schafft PR und
erleichtert das Lernen!
Dennoch schon mal einige Links:
FLOW3:
http://flow3.typo3.org/
AOP:
http://de.wikipedia.org/wiki/Aspektorientierte_Programmierung
JSR-283
https://jsr-283.dev.java.net/
ORM:
http://de.wikipedia.org/wiki/Object-Relational_Mapping
REST:
http://de.wikipedia.org/wiki/REST
TDD:
http://de.wikipedia.org/wiki/Testgetriebene_Entwicklung
Jetzt bin ich "angefixt": Her mit den restlichen Bingo-Items.
Also, sagen wir mal so: Ein "offizielles" Thema hatten wir nicht, aber
spätestens um 22.40 Uhr auf dem Parkplatz haben wir die letzten
Gespräche dann doch besser abgebrochen und uns darauf besonnen, dass
wir ja auch noch ein Zuhause haben.
Weiter so ...
Martin
--
http://mbless.de
More information about the TYPO3-UG-Muenster
mailing list