[TYPO3-UG-Muenster] FXrs Archiv: UG-Treffen von gestern, 13. Okt. 2008

Tue Oct 14 12:28:59 CEST 2008

Hallo marble

thank you very much. War ja ganz schön viel info.

Freut mich das ihr so bei der Sache seit.

gruss

angela

Am Dienstag, den 14.10.2008, 11:31 +0200 schrieb Martin Bless:
> Gestern Abend, Usergroup-Treffen: Wie war's? Mal schauen, was die
> Notizen hergeben. Ist manchmal ein wenig heißblütig, der
> Gedankenaustausch, so dass es schwierig ist, da zu passenden Notizen
> zu kommen. 
> 
> Im Großen und Ganzen ging es um T3CON08, Security und etwas Typoscript
> und den üblichen Hosting-Smalltalk. Und natürlich wie immer um das
> Tutorial "Typoscript in 45 Minuten" (oder länger ;-) von Martin Holtz
> und Co. Jetzt auch als Extension:
>      http://typo3.org/extensions/repository/view/ts45min_de/current/
> Dowloaden, und bei Gefallen raten! Am besten immer raten.
> 
> Security, live hacking:
> Tobias hat was gezeigt. Als Fazit sage ich mir: Beschäftige dich mehr
> mit Google! Was da etwa eine Suche nach:
>      intitle:"index of" inurl:fileadmin
> zu Tage fördert! Ursache dieser Probleme: Der Apache Webserver läuft
> mit der "Indexes" Option "ON". Das sollte generell keinesfalls
> eingeschaltet sein. Anders als wir gestern dachten, steht diese Info
> jedoch noch keineswegs im TYPO3-Security Cookbook, dass man unbedingt
> kennen sollte:
>      http://typo3.org/teams/security/
> 
> Man kann keineswegs mehr sagen, dass die Security Informationen auf
> typo3.org schlecht zu finden sind. Insbesondere die
>      http://typo3.org/teams/security/security-bulletins/ 
> sind natürlich etrem wichtig, da die dort veröffentlichten Infos ja
> gleichsam offiziell verkündete Exploit-Möglichkeiten sind, die man den
> "Gästen" dann nicht mehr bieten sollte.
> 
>  Die Bulletins werden jeweils aktuell in der
>  http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-announce
> Mailingliste veröffentlicht. Dort sollte man sich unbedingt eintragen.
> Man wird da nicht gerade mit Traffic zugeworfen, vielmehr ist das, was
> kommt, wichtig. Leider ist die Announce-Liste NICHT per Newsreader
> verfügbar, was ich für einen Fehler halte. Ich konnte aber noch keine
> Änderung bewirken.
> 
> Todo:
> Wir sollten dafür sorgen, dass der Hinweis auf "Abstellen von
> Indexing" ins Security-Cookbook aufgenommen wird.
> 
> Apropos Indexing:
> Wenn man das gezielt benutzt und einschaltet, sind die Stichworte
> 'FancyIndexing' und 'nameWidth=*' von Interesse. Ich habe da zB eine
> .htacces liegen mit der Zeile:
>      IndexOptions FancyIndexing NameWidth=* IgnoreCase
> 
> So kann man wie in 
>      http://mbless.de/4us/s/python/ee8627b6/
> elegant Download- und Infobereiche anlegen, in denen auch beliebig
> lange Dateinamen vollständig angezeigt werden.
> 
> Security:
> Wer Sicherheit garantieren will, muss wissen, wie die Angreifer
> denken. Man Suche nach exploit, hack*, md5, usw. Apropos: "md5
> database" führt zB zu Datenbanken wie 
>      http://md5.rednoize.com,
> in der jede Menge Hashes zur Rückwärtssuche enthalten sind. So sagt
> mir etwa 
>   http://gdataonline.com/seekhash.php 
> sofort, dass bacb98acf97e0b6112b1d1b650b84971 => joh316 ergibt.
> 
> http://md5.rednoize.com dient auch der Rückwärtssuche. Allerdings
> haben die wohl doch nicht alle Hashes für Passwörter mit weniger als 7
> Zeichen vorrätig. Hab's gerade mal mit 6 Stellen, nur Ziffern und
> Ascii-Buchstaben probiert: Konnte er nicht.
> 
> Achtung mit Google-Analytics: Da gärt was:
> 
> https://www.datenschutzzentrum.de/presse/20080807-google-analytics.htm
> 
> https://www.datenschutzzentrum.de/tracking/20080702-anschreiben-google-analytics.pdf
> 
> https://www.datenschutzzentrum.de/tracking/20080703-anschreiben-webseitenbetreiber.pdf
> 
> Vergleiche auch die Info von Friedrich Gerken hier im Forum:
> 
> http://lists.netfielders.de/pipermail/typo3-ug-muenster/2008-October/000220.html
> 
> Ist Google Analytics "schlimm"?: Geteilte Auffassungen. Auf jedenfall
> ist's praktisch. Ergebnismails kann man sich oder dem Kunden ja sogar
> regelmäßig per Mail schicken lassen. Und man kann sich Lösungen
> vorstellen, die rein Server-seitig laufen und das Tracking nach außen
> hin überhaupt nicht erkennbar machen, wie der ClickStream Analyzer
> http://typo3.org/extensions/repository/view/alternet_csa_out/current/.
> 
> Und, ach nee: Google-Maps auf einem Handy im Browser gestartet (kein
> I-Phone), "weiß" über die Empfangszelle an welcher Postition man sich
> ungefähr befindet. Aus dem Handy? Wenn nicht: "Skandal!"
> 
> Typoscript, Security, Suchmaschinenmarketing:
> Man informiere sich über config.linkVars, zB hier:
> http://www.typo3.net/tsref/setup/config Bei falscher oder fehlender
> Konfiguration kann es passieren, dass jemand ein
> ?L=http://bloedsinn.irgendwo an die Links der eigenen Seite anhängt
> und zum geeigneten Zeitpunkt in den Seitencache einschmuggelt. Google
> liest sich das Zeug dann durch und veröffentlicht es. Es handelt sich
> NICHT um eine TYPO3-Sicherheitslücke, sondern um ein (Mis-) Feature,
> das auf anderer Ebene (2nd level abuse?) zu Missbrauch führen kann.
> Auf jedenfall kann man ungewollt in die Nähe unerwünschter Inhalte
> gestellt werden. Deshalb: Aufgepasst!
> 
> T3CON08: Großes Lob an Tobias für seinen begeistert-begeisternden
> Kurzbericht über den Stand von FLOW3. Fazit: Das wird ja was! Außerdem
> sollten wir Tobias als Kandidat beim nächsten
> Schnellsprecherwettbewerb nominieren. Ich sage nur: Buzzwords,
> buzzwords, summsummserum: FLOW3, DDD, ORM, AOP, REST-Services, JSR283,
> ...)
> 
> Ich konnte leider nicht alle aufschnappen, schlage aber unbedingt vor,
> dass wir ein FLOW3-Bullshitbingo entwickeln, ähnlich wie es sie hier
> gibt: 
>      http://www.hjsv.com/games/bingo/bingo-d.html
>      http://de.wikipedia.org/wiki/Bullshit-Bingo 
> Das ist durchaus ernstgemeint, denn es macht Spaß, schafft PR und
> erleichtert das Lernen!
> 
> Dennoch schon mal einige Links:
> 
> FLOW3:
>      http://flow3.typo3.org/
> AOP:
>      http://de.wikipedia.org/wiki/Aspektorientierte_Programmierung
> JSR-283
>      https://jsr-283.dev.java.net/
> ORM:
>      http://de.wikipedia.org/wiki/Object-Relational_Mapping
> REST:
>      http://de.wikipedia.org/wiki/REST
> TDD:
>      http://de.wikipedia.org/wiki/Testgetriebene_Entwicklung
> 
> Jetzt bin ich "angefixt": Her mit den restlichen Bingo-Items.
> 
> Also, sagen wir mal so: Ein "offizielles" Thema hatten wir nicht, aber
> spätestens um 22.40 Uhr auf dem Parkplatz haben wir die letzten
> Gespräche dann doch besser abgebrochen und uns darauf besonnen, dass
> wir ja auch noch ein Zuhause haben.
> 
> Weiter so ...
> 
> Martin
> 