[TYPO3-UG Denmark] HJFLP mit site er blevet hacked af muslimer.

[peterg]

Hej Martin

> Jeg tror som sagt hverken Apache, PHP eller TYPO3 har været synderen her.
> Og nej, det er en rigtig dårlig ide at opdatere bare for at opdatere. If it 
> ain't broke, don't fix it. Bare fordi noget er nyere er det ikke nødvendigvis 
> bedre i enhver henseende.

Vi har en tråd om sikkerhed, jeg står med flere sites som er blevet 
defaced, og jeg skriver et indlæg om behovet for opdateringer. Det 
betyder ikke, at jeg har fået rablende versionitis.

Jeg kunne ikke drømme om at køre TemplaVoila, Typo3 4.0.0, nyeste 
feature-udgave af PHP el. lign. i produktion.

Det jeg forventer er, at sikkerheden på systemet holdes opdateret, at 
jeg ASAP informeres om evt. brud på sikkerheden, at sites tages af 
nettet ved angreb, at fejl på et website ikke har så alvorlige 
konsekvenser for andre websites at også de tages ud af drift samt at der 
laves et frivilligt kodeks på området.


> Det er farligt at stirre sig blind på det lille 's'. Det betyder blot at folk 
> ikke kan lytte med - og jeg tvivler på at nogen har sniffet dit password - 
> specielt i betragtning af at TYPO3 backenden allerede hasher passwordet når 
> du logger ind. 

Det er glimrende at Typo3 gør det på BE, men min FTP-klient sender jo 
konstant kodeordet. Vi taler 2006 og FTP uden sikkerhed burde være død. 
Eller i det mindste ikke noget, der skulle koste 1100% ekstra. Lad os nu 
få sikret de forbindelser.


> Det der kan være interessant, er at begrænse adgangen til backenden. Så selv 
> hvis en angriber får fat i alle dine passwords nytter det ikke noget. Selv 
> bruger jeg IP-begrænsning via .htaccess - det virker fint for mig, da alle 
> mine brugere sidder på de samme 10-12 IP'er (og generelt er tålmodige hvad 
> angår sikkerhed efter angrebet i sommer) - men andre kan være i en mindre 
> heldig situation. Man kunne f.eks. kigge på OpenVPN med preshared keys.
> Men alt sådan noget lægger pres på udbyderen, og kan gøre servicen dyrere.

Fint med de forslag - bortset fra, at I dag kan jeg ikke vælge. Mad har 
smileys, biler har Euro NCAP stjerner, låsesystemer har SKAFOR klasser. 
Alle steder kan jeg se, hvad jeg får, 3. part udfører audit og jeg kan 
betale på det niveau jeg ønsker. Behøver ikke koste 10x mere.


> Det eneste der virkelig vil batte er grundig codereview af extensions - 
> primært de hjemmelavede. Og sådan noget koster penge og/eller tid.

Hvis vi har fejl i vores extensions og bliver ramt, så er problemet ret 
isoleret. Det som er svært at acceptere er, når andre laver fejl og vi 
bliver ramt.

Men lad os nu se - vi får vel brev om det på et eller andet tidspunkt.

Vh
Peter
LBL