[TYPO3-german] Wie sicher ist Typo3

[Markus Deckmann]

Hi Christian,

> für die security meldungen von typo3 gibts einen Security newsfeed
> http://news.typo3.org/xml-feeds/

Werde ich mir morgen gleich mal anschauen...danke für den Link.


> dort bekommst du infos über alle entdeckten sicherheits lücken. und was 
> sie genau betreffen.
> und dann liegt es natürlich an dir schnellst möglich zu patchen.

Das ist klar. :-D


> wenn der server mit den "verschlüsselten" daten auch arbeiten soll. also 
> mehr als sie nur verschlüsselt an den enduser zu schicken. der server 
> den schlüssel zu den daten. diesen must du dann wohl auf
> dem server speichern. damit hätte ein angreifer in deinem angriffs 
> szenario auch wieder
> den schlüssel. da du ja davon ausgehst das er auf irgend eine weise 
> vollzugriff hat.

Grundsätzlich bin ich schon davon ausgegangen das der Server auch die 
Daten darstellt, allerdings würde auf dem Server (wenn man mal von PGP 
ausgeht) lediglich der öffentliche Schlüssel liegen. Den privaten 
Schlüssel müsste der User für die Ansicht manuell pro Sitzung eingeben 
und damit würde entschlüsselt werden. Allerdings leuchtet mir hier ein 
das ich hier den privaten Schlüssel tunlichst nicht zurück an den Server 
schicken sollte, denn damit würde dem Angreifer ja dann privater und 
öffentlicher Schlüssel und damit das komplette Schlüsselpaar zur 
Verfügung stehen. Hier muss ich mir nochmal genauer Gedanken machen.


> in dem ich die index.php datei ungefähr so modifizre:
> output buffering aktivieren. den normalen "kram tun" am ende den buffer 
> auslesen. und und an mich übermitteln / in einen log schreiben. und dann 
> dem user den normalen output päsentieren.

Das funktioniert aber ja nur wenn die Entschlüsselung auf dem Server 
passiert und das komplette Schlüsselpaar vorhanden ist. Nur der 
öffentliche Schlüssel nützt dem Angreifer nichts. Wie oben erwähnt muss 
ich mir allerdings hier dann wohl noch überlegen wie ich den privaten 
Schlüssel nutze ohne ihn an den Server zu schicken und ohne die Gefahr 
zu haben ein komprimitiertes Client-System zu haben.


> aber ich kanns mir natürlich auch einfach machen und das passwort des 
> users mitschreiben wenn es den "infizierten"
> server erreicht. damit kann ich die rolle jedes users einnehmen nach dem 
> er sich einmal eingelogged hat.
> und könnte so auch daten auslesen die mit dem passwort des users 
> verschlüsselt worden sind.

Davor kann ich mich also nur schützen wenn die Ver- und Entschlüsselung 
auf einem sauberen Client-System abläuft, sehe ich das richtig? Nur dann 
ist dem Angreifer lediglich der öffentliche Schlüssel bekannt, was ihm 
alleine allerdings für eine Entschlüsselung nichts bringen dürfte.


> du kannst dich nicht effektiv gegen einen angreifer schützen der 
> vollzugriff auf dein system hat.
> ich glaube bei vollzugriff auf dein system ist deine sicherheit in jedem 
> erdeknlichn fall dahin.
> also geht es darum einen user nicht dahin kommen zu lassen.

In meinen Augen kann dies allerdings dennoch auftreten und muss dabei 
noch nicht mal in meiner Macht liegen. Eine falsche Einstellung die vom 
ISP gesetzt wird und schon hat jemand evtl. mal kurz Zugriff. Sich nur 
auf Server-Schutz zu verlassen ist in meinen Augen also ein bisschen zu 
wenig.


> der einzige fall in dem du die "vertraulichen" daten auf ein system 
> geben kannst das von deinem angreifer
> kontrolliert wird. ist der fall in dem die daten schon verschlüsselt das 
> system erreichen.
> und auch nur verschlüsselt wieder herunter genommen werden.

Ja, das leuchtet mir jetzt auch ein...allerdings würde das eine Ver- und 
Entschlüsselung beim Client voraussetzen bei dem ich dann auch in 
irgendeiner Weise sicher stellen sollte das dort kein Trojaner oder 
ähnliches die Eingaben abfängt. Wäre hier u.U. eine Live-CD eine 
Möglichkeit mit der der Benutzer sich einloggt auf dem Portal? Damit 
sollte doch weitgehens sicher gestellt sein das kein Schädling die 
eingegebenen Daten abhört und damit in den Besitz der Passwörter 
gelangt. Eine sichere Ver- und Entschlüsselung auf Client-Seite sollte 
damit dann auch gegeben sein denke ich, oder vernachlässige ich hier 
dann noch etwas?


> quasie ein FTP server auf dem du nur mit PGP verschlüsselte daten hoch 
> und runter lädst. damit hat dein server
> kein sicherheits problem mehr. dafür must du nun gewährleisten das 
> keiner der user rechner infiziert wird. (besonders
> wenn die user in der lage sein sollen die daten unter einander zu lesen. 
> könnte es spaßig werden falls ein privater schlüssel in die falschen 
> hände gerät.

Komplexeres Thema als es auf den ersten Blick den Eindruck machte. Ich 
werde mal den Gedanken der Live-CD weiter durchspielen, damit ist in 
meinen Augen eine weitgehenst sichere Verbindung zwischen Client und 
Server möglich mit zusätzlicher Verschlüsselung der Daten auf Client-Seite.

Danke für deine Antworten bisher...deine Tipps haben mir doch noch 
einige Schwachstellen in meinem Konzept aufgezeigt an die ich mich noch 
ranmachen sollte bevor ich hier anfange etwas umzusetzen.

Ciao Markus