[TYPO3-german] mod_security rules
Benno Weinzierl
benno_weinzierl at web.de
Fri Feb 2 19:40:57 CET 2007
Da wäre ich auch dran interessiert.
Aber was ich nicht ganz checke: Wie soll mod_security eine Sicherheitslücke
öffnen?
Besser ein "locker" konfiguriertes mod_security als keins oder? Die
Sicherheitslücken befinden sich ja in der Software.
mod_security kann doch sowieso keinen 100%igen Schutz bieten.
Mich würde auch mal interressieren wie Typo3 gegen SQL-Injections verwundbar
war in der letzten Zeit? Mit ist da nichts zu ohren gekommen. Ihr macht
micht schon wieder ganz hibbelig hier.
Aber wenn jemand mit Regeln rüberkommt dann werd ich sicher zugreifen!
"Marcel" <nezzo1 at gmail.com> schrieb im Newsbeitrag
news:mailman.119559.1170434528.21325.typo3-german at lists.netfielders.de...
Hi
Unser Hoster wollte das nach einer Attacke mal einrichten.
Mit standard Rules lief TYPO3 nur mehr oder weniger.
Diverse Extensions und auch normale Backend / Frontend Anzeige bzw.
Bedienung machte
teils massiv Probleme.
Dann ging das tunen an den Rules los.
Nach einigen Stunden (die Stundensätze sind auch nicht gerade billig) haben
wir
dann abgebrochen. Es brauchte einfach zuviele Ausnahmen und es lief immer
noch nicht
alles einfwandfrei.
Ich denke mal, dass diese Ausnahmen auch wieder Löcher geöffnet haben, was
ja nicht
der Sinn von mod_security ist...
Aber wenn jemand das hingekriegt hat, wäre ich also auch interessiert!
Vorallem natürlich bei einem etwas komplexeren Setup (real URL,
Mehrsprachig, alle
möglichen Inhaltselemente, Newsletter, gängige Extensions wie tt_news etc.
etc.)
Gruss
Marcel
-----Ursprüngliche Nachricht-----
Von: typo3-german-bounces at lists.netfielders.de
[mailto:typo3-german-bounces at lists.netfielders.de] Im Auftrag von Daniel
Wissensbach
Gesendet: Freitag, 2. Februar 2007 14:57
An: typo3-german at lists.netfielders.de
Betreff: Re: [TYPO3-german] mod_security rules
Hallo,
da sich noch keiner gemeldet hat, noch mal die Frage:
Benutzt keine von Euch mod_security und TYPO3?
Kann ich mir gar nicht vorstellen, oder will nur keine rausrücken mit
seinen Regeln?
Gruss,
Daniel
Daniel Wissensbach schrieb:
> Hallo TYPO3 Freunde,
>
> ich habe bislang schonmehrfahc einrbüche über TYPO3 gehabt, meistens
> waren es SQL-Injections wie ich es ersehen konnte.
>
> Daher wollte ich neben anderen Sicherungen (suHOSIN etc)
>
> nun auch das mod_security Modul einsetzen.
>
>
> Ich habe es mit den Standard core regelns als auch mit den erweiterten
> gotroot.com regeln versucht.
>
> Mit allen läuft TYPO3 nicht zufriedenstellend.
>
>
> z.B. einfache Bildaufrufe scheitern wie:
>
/index.php?eID=tx_cms_showpic&file=uploads%2Fpics%2Ftestpic.gif&width=800m&h
eight=600m&wrap=%3Ca%20href%3D%22javascript%3Aclose%28%29%3B%22%3E%20%7C%20%
3C%2Fa%3E&md5=bd6c9d5da719bc7ef0be8df65d3119b2
>
>
>
> Ich habe auch schon angefangen die Regeln entsprechend für TYPO3 zu
> üatchen aber das ist echt sehr müsälig und die gefahr dass ich dadurch
> wieder eine Lücke reinreisse ist echt gross.
>
>
> Deshalb meine Frage, wie Eure Rules für mod_security und TYPO3 aussehen?
>
> Vielleicht kann man ja mal generelle Regeln entwerfen?!?
>
>
> Wäre super wenn Ihr was postet oder mir direkt schickt.
>
> Grüße,
>
> Daniel
_______________________________________________
TYPO3-german mailing list
TYPO3-german at lists.netfielders.de
http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-german
More information about the TYPO3-german
mailing list