TYPO3 verfügt über eine ausgeklügelte Benutzerverwaltung, sowohl für Frontend- als auch für Backend-Benutzer. Durch das einfache Gruppieren von Benutzern und das Verwalten von Backend-Zugriffen mittels ACL (Access Control List) hat der Administrator tiefgehende Optionen, die manipulierbar sind. Einziger Nachteil ist, dass TYPO3 die Frontend-Benutzer mit dem Passwort in Klartext speichert. Das Problem kann aber mit einer Extension gelöst werden (kb_md5fepw) [1]. Viele weitere Hinweise zur Absicherung gibt es im TYPO3-Security-Cookbook [2].
Web-Application-Firewall (WAF)
Einen guten Schutz gegen eine Vielzahl von Angriffen auf Webanwendungsebene bietet die Open-Source-Lösung „ModSecurity“. Ohne Eingriffe in bestehende Netzwerkinfrastrukturen ermöglicht sie zudem "HTTP traffic monitoring" sowie Echtzeit-Analysen. Das benötigte Regelwerk muss dabei über die systemeigene „RuleLanguage“ in die config-Datei eingepflegt werden.
SecRule REQUEST_URI|ARGS|REQUEST_BODY "highlight=.*(\'|\%[a-f0-9]{4})(\.|\/|\|\%[a-f0-9]{4}).+?(\'|\%[a-f0-9]{4})"
Listing 8
Web-Applikationen mit Content Management Systemen oder Onlineshops schützt die professionelle Lösung „web of defence“ vor Angriffen. Auch vor solchen, die von keiner herkömmlichen Sicherheitslösung wie Firewall oder Antivirusprogramm erkannt und abgewehrt werden. Dazu zählen SQL-Injection, Web-Defacement, XSS oder Session-Manipulationen. Die Lösung identifiziert und klassifiziert Angriffe und verhindert unberechtigte Zugriffe auf die hinter der Webanwendung liegenden Datenbanken und operativen Systeme. So bleiben geschäftskritische oder sensible Informationen wie Kundendaten und Produktinformationen sicher – vor allem auch während laufender Transaktionen, wenn die Systeme offen und damit angreifbar sind.
Die Oberfläche von web of defence zeigt sich übersichtlich.
Fazit
Durch die wachsende Interaktion zwischen Webseiten und Benutzern im Web 2.0 einerseits und die dafür eingesetzten Skripte (Ajax) andererseits entstehen neben dem erhöhten Komfort auch viele neue Angriffsflächen für den Datenklau und anderen Missbrauch. Damit verändern sich in puncto Sicherheit auch die Anforderungen an Entwickler. Letztlich werden der wirtschaftliche Erfolg und die Konkurrenzfähigkeit in Zukunft nicht nur von funktionierender IT bestimmt, sondern genauso von der gebotenen Sicherheit. Dem Faktor Kundenvertrauen kommt eine zentrale Bedeutung zu, die nicht unterschätzt werden sollte.
Marko Schmuck arbeitet als Programmierer und Webdesigner bei der art of defence GmbH (www.artofdefence.com) aus Regensburg. Durch sein jahrelanges Engagement als Open-Source-Entwickler bei verschiedenen CMS-Projekten ist er mit den sicherheitsrelevanten Aspekten von Web-Anwendungen und den entsprechenden Erweiterungen vertraut. Zusätzlich befasst er sich intensiv mit Suchmaschinenoptimierung.
![iWatch 2: So könnte die Apple Uhr aussehen [Bildergalerie]](http://t3n.de/uploads/t3n-news-post-363391_iWatch-2-Concept-ADR-1_medium.jpg)
