[TYPO3-german] Sicherheit bei TYPO3 und Joomla

Andreas Becker ab.becker at web.de
Fri Aug 28 17:56:35 CEST 2009 

@Marc
Auch einschwacher Schutz kann jedoch allemal besser sein als gar kein Schutz
;-)
Man sollte generell nicht auf solchen Hostern hosten die einem nur den
Zugriff auf webverzeichnisse gewaehren!
Wie bereits angesprochen bracuht MySql das passwort in Klartext und solange
sich dies nicht aendert, solange muss man damit leben und einen
"schwaecheren" Schutz waehlen, bevor man einfach alles auf 777 und am besten
noch passwort auf joh316 und nicht zu vergessen die Backend Passwoerter und
User im Default zustand laesst.

Das verlegen des Passwort ausserhalb des webroots womoeglich ist daher
durchaus sinnvoll als einer von vielen Schritten.
Ein weiterer waere den Backend user Case sensitive zu machen.
Nicht vergessen sollte man auch die IP Begrenzung. Eine IP laesst sich
einfach auch wieder abaendern wenn man Serveraccess hat. Ruft jemand das
TYPO3 Backend auf dass nicht zu der berechtigten IP gehoert, so sieht er
weiss:-) und sonst nichts.
Zusaetzlich lassen sich nun RSA und OpenId verwenden.
Die localconf sollte im Grunde nur die benoetigten dinge fuer die Seite
enthalten. Alles andere kann man mit anderer User/Group Berechtigung und
OHNE Schreibrechte ausserhalb des webroots verlagern - so wie oben
beschrieben.

Riesen Vorteil ist dabei die Wiederverwertbarkeit von Settings die auf einem
Server gelten.
Eine Extension.in.php, imagemagick.inc.php, graphicsmagick.inc.php und sogar
eine db.inc.php mit den generellen database settings neben der
credential.inc.php in der lediglich die database steht und die Site
spezifischen TYPO3 settings. usw.

Hat man nun mehrere Sites muss man lediglich immer eine neue
credentials.inc.php erstellen und der rest wird einfach wiederverwertet was
sehr viel Zeit erspart und auch bei Updates die ggf Aenderungen erforderlich
machen leicht von einer zentralen Stelle (ausserhalb des Webroots) aus
managen.

Evtl. sollte man die Moeglichkeit das Backend Verzeichnis umzubenennen
einfacher machen. Bei einigen Shop Systemen wird man z.B. bei der
Installation gefragt wie man das Backend nennen will b"backend' "coontrol"
"blabla" ... so kann man nicht generell davon ausgehen dass man immer mit
typo3 zum backend login gelangt.

Nicht zu vergessen ist jedoch, dass bei sehr vielen Hostern immer brav neben
ihren tollen Hosting angeboten ein PHPadmin daherlaeuft der sich super
einfach aufrufen laesst. Auch hier ist wohl eine IP restriction und vor
allem auch ein https oder aehnliches angesagt, vorallem sollte man sich gut
ueberlegen ob man den phpmyadmin als domain.tld/phpmyadmin aufrufen laesst.

Kommt man einmal in die Datenbank so kann man einigen Unfug bis zur
Vernichtung der Site betreiben - also regelmaesige Backups nicht vergessen.

Es gibt sicher noch zig weitere ideen wie man TYPO3 noch sicherer machen
kann als es eh schon ist. Das problem mit dem Datenbank daten betrifft
uebrigens JEDE Application, die diese in irgend einem unterverzeichnis das
oeffentlich zugaenglich ist ueber das web ablegt.

Gruss Andi




2009/8/28 Marc Wöhlken <woehlken at quadracom.de>

> Hi!
>
> Andreas Becker schrieb:
> > Hmm Steffen
> > kann er das passwort auch lesen wenn du es woanders ablegst? und in der
> > Localconf nur per include verknuepfst ;-)
> >
> > http://secure.t3sec.info/tutorials/typo3/credentials-outside-of-webroot/
>
> Bei vielen Shared-Hosting-Umgebungen gibt es auch für den Besitzer
> keinen Zugriff auf das Dateisystem außerhalb der Document-Root. Die o.g.
> Lösung greift also nicht überall...
>
> Zum anderen ist das Verstecken von Passworten auch nur ein schwacher
> Schutz, da man leicht ein Script zum auslesen der ausgelagerten Datei
> schreiben kann (PHP hat ja Zugriff darauf!)
>
> Am Ende bleibt es wie immer an der sicheren Konfig des Webservers hängen.
>
> My2cent
>        Marc
>
>
> --
> ...........................................................
> Marc Wöhlken                     TYPO3 certified intregator
>
> Quadracom - Proffe & Wöhlken
>
> Rembertistraße 32              WWW: http://www.quadracom.de
> D-28203 Bremen                E-Mail: woehlken at quadracom.de
> ______________             PGP-Key: http://pgp.quadracom.de
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.netfielders.de
> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-german
>

More information about the TYPO3-german mailing list