[TYPO3-UG-Muenster] Fürs Archiv: UG-Treffen von gestern, 13. Okt. 2008

Martin Holtz typo3ng_2008 at martinholtz.de
Tue Oct 14 18:05:47 CEST 2008 

Hi Martin,

> Gestern Abend, Usergroup-Treffen: Wie war's? Mal schauen, was die
> Notizen hergeben. Ist manchmal ein wenig heißblütig, der
> Gedankenaustausch, so dass es schwierig ist, da zu passenden Notizen
> zu kommen. 
erneut vielen Dank für Deine Zusammenfassung!

> Im Großen und Ganzen ging es um T3CON08, Security und etwas Typoscript
> und den üblichen Hosting-Smalltalk. Und natürlich wie immer um das
> Tutorial "Typoscript in 45 Minuten" (oder länger ;-) von Martin Holtz
> und Co. Jetzt auch als Extension:
>      http://typo3.org/extensions/repository/view/ts45min_de/current/
> Dowloaden, und bei Gefallen raten! Am besten immer raten.
ja, bitte bitte:) Besser schlecht bewertet als garnicht.

> Security, live hacking:
> Tobias hat was gezeigt. Als Fazit sage ich mir: Beschäftige dich mehr
> mit Google! Was da etwa eine Suche nach:
>      intitle:"index of" inurl:fileadmin
> zu Tage fördert! Ursache dieser Probleme: Der Apache Webserver läuft
> mit der "Indexes" Option "ON". Das sollte generell keinesfalls
> eingeschaltet sein. Anders als wir gestern dachten, steht diese Info
> jedoch noch keineswegs im TYPO3-Security Cookbook, dass man unbedingt
> kennen sollte:
>      http://typo3.org/teams/security/
doch, es steht drin, allerdings sehr gut versteckt ("Directory listing
for example is not needed."):

"Apache
In httpd.conf don't load modules, you don't need. Best is not to even
install them. Directory listing for example is not needed.
This can be done via php script if needed
Only install required modules
disable version info in error pages, tell possible attackers as little
as possible"

Wichtig ist, dass diese Sache erst im Zusammenhang mit dem ablegen von
SQL oder t3d-Files im Webroot und kurzen (< 10 Zeichen) Passwörtern
richtig kritisch wird.

Das Cookbook könnte da präziser sein, denke ich.

>  Die Bulletins werden jeweils aktuell in der
>  http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-announce
> Mailingliste veröffentlicht. Dort sollte man sich unbedingt eintragen.
> Man wird da nicht gerade mit Traffic zugeworfen, vielmehr ist das, was
> kommt, wichtig. Leider ist die Announce-Liste NICHT per Newsreader
> verfügbar, was ich für einen Fehler halte. Ich konnte aber noch keine
> Änderung bewirken.
Naja, ich würde mal sagen: jede E-Mail die darüber kommt ist extrem
wichtig! Bzgl. Newsreader bin ich mir nicht sicher. Sporadisch in einer
Newsgroup lesen ist bei dem Thema nicht so gut...

> Todo:
> Wir sollten dafür sorgen, dass der Hinweis auf "Abstellen von
> Indexing" ins Security-Cookbook aufgenommen wird.
s.o. - es geht IMHO um die Formulierung.


> Und, ach nee: Google-Maps auf einem Handy im Browser gestartet (kein
> I-Phone), "weiß" über die Empfangszelle an welcher Postition man sich
> ungefähr befindet. Aus dem Handy? Wenn nicht: "Skandal!"
Wer über die technischen Hintergründe mehr weiß, darf mir das gerne
sagen. Würde mich wohl interessieren.

> T3CON08: Großes Lob an Tobias für seinen begeistert-begeisternden
> Kurzbericht über den Stand von FLOW3. Fazit: Das wird ja was! Außerdem
> sollten wir Tobias als Kandidat beim nächsten
> Schnellsprecherwettbewerb nominieren. Ich sage nur: Buzzwords,
> buzzwords, summsummserum: FLOW3, DDD, ORM, AOP, REST-Services, JSR283,
> ....)
> 
> Ich konnte leider nicht alle aufschnappen, schlage aber unbedingt vor,
> dass wir ein FLOW3-Bullshitbingo entwickeln, ähnlich wie es sie hier
> gibt: 
>      http://www.hjsv.com/games/bingo/bingo-d.html
>      http://de.wikipedia.org/wiki/Bullshit-Bingo 
> Das ist durchaus ernstgemeint, denn es macht Spaß, schafft PR und
> erleichtert das Lernen!
Ich kenne mich beim Bingo nicht aus - wie lauten die Regeln?

> Also, sagen wir mal so: Ein "offizielles" Thema hatten wir nicht, aber
> spätestens um 22.40 Uhr auf dem Parkplatz haben wir die letzten
> Gespräche dann doch besser abgebrochen und uns darauf besonnen, dass
> wir ja auch noch ein Zuhause haben.
> 
> Weiter so ...
jau, hat Spaß gemacht und war informativ!

Für das nächste mal stehen ja direkt weitere Themen an: der Auszug aus
der Präsentation von Mario Matzula (CAL-Extension) und noch mehr von der
T3CON08 (bei Bedarf).

gruß,
martin


-- 
Martin Holtz
elemente websolutions GbR
Junkerstraße 24
www.elemente.ms

wiki.typo3.org/De:TSref

More information about the TYPO3-UG-Muenster mailing list