[TYPO3-UG Denmark] HJFLP mit site er blevet hacked af muslimer.

Allan Jacobsen allan.j at cobsen.dk
Sat Feb 25 22:06:02 CET 2006 

Hej Peter (og Sune) 

Jeg synes ikke jeg kan lade være med at kommentere denne tråd, for  jeg synes 
der er nogle ting, som trænger til at blive belyst lidt mere.

Først, jeg aner ikke hvad der er gået galt hos dcmedia, men det får vi 
forhåbentlig at vide når de er færdige med at analysere deres server.

Generelt vil jeg sige at TYPO3 er et særdeles solidt stykke software, med en 
rigtig god sikkerhedshistorie, men der findes altså ikke software uden fejl, 
hvis man er interesseret i sikkerhedsproblemer i TYPO3 skal man bare kikke på 
siden: http://typo3.org/teams/teams-security/security-bulletins/ så helt 
perfekt er TYPO3 altså ikke.

Jeg vil give Sunes sikkerhedsansvarlig ret i at der er større sandsynlighed 
for at det er andre softwarekomponenter på serveren, der er skyld i 
indbruddet, men nogle af disse kan være en del af en TYPO3 extension, for 
eksempel er det en velkendt sag at awstats var et meget stort 
sikkerhedsproblem sidste år, og generelt bliver extension slet ikke 
kontrolleret sikkerhedsmæssigt, og det er måske et område der burde kikkes 
på, for det vil være oplagt, hvis vores kommercielle konkurrenter ville bruge 
dårlig sikkerhed i en extension, til at kaste tvivl om TYPO3s sikkerhed. (det 
skete faktisk sidste år, men en meget hurtig reaktion fra sikkerhedsfolkene 
fik rettet fejlen indenfor 24 timer og så var den sag lagt død).

Generelt ville det selvfølgelig være en god ide med https til BE af en TYPO3 
server, men det er ikke realistisk at et almindeligt hostingcenter skulle 
kunne tilbyde det til en nogenlunde lav pris, dertil er mangelen på 
ipadresser alt for stor.
TYPO3s løsning, hvor der ikke sendes klartekst brugernavn og password over 
internettet, er en rigtig god løsning på problemet, og jeg vil mene at det er 
meget usandsynligt at en cracker ville finde passwordet der, der er nok andre 
veje der er nemmere.

<off topic>
Jeg tvivler meget på at lovgiverne vil stille krav til webhotellers sikkerhed, 
men når man lever i et land, hvor der ikke må stilles overvågningskameraer op 
på offentlig vej, og der derved giver frit lejde til voldsmænd og bander, 
mens internettraffik skal logges og gemmes i årevis, så er det ikke nemt at 
gætte sig til hvad vores politikere finder på næste gang.
</off topic>

MVH
Allan

More information about the TYPO3-UG-denmark mailing list