Die Schotten dicht machen
Der beste Schutz auf Serverseite ist nutzlos, wenn das Klartextpasswort bereits auf dem Weg zum Server durch einen bösen „Man in the middle“ abgehört wird. Benutzen Sie daher die Extension nur im Zusammenhang mit einem SSL-Zertifikat!
Viele Webhoster bieten schon für wenige Euros im Monat ein Zertifikat an. Wenn Sie Ihre Seiten auf einem eigenen Root-Server betreiben, können Sie sich das SSL-Zertifikat auch selbst generieren und ausstellen. Backend-Benutzer müssen dann zwar einmalig das vermeintlich unsichere Zertifikat akzeptieren, um das Backend zu betreten, es bietet aber genauso viel Sicherheit wie ein kostenpflichtiges fremdverifiziertes SSL-Zertifikat.
Ist ein Zugang via SSL möglich, sollte man Benutzer nur noch den Zugang über das sichere Protokoll gestatten und den „normalen“ HTTP-Zugang auf die sichere Leitung umleiten. Dies geht beispielsweise über eine mod_rewrite-Regel des Apache. Dazu legen Sie eine .htaccess-Datei im Ordner „/typo3/“ mit folgendem Inhalt und Ihrem individuellen Pfad zum Backend an:
RewriteEngine On
RewriteBase /typo3/
RewriteCond %{SERVER_PORT} !443
RewriteRule ^(.*)$ https://www.example.com/typo3/ [R,L]
Listing 5
Nicht selten werden Sicherheitslecks erst im Zusammenspiel mit Lücken in PHP-eigenen Funktionen richtig kritisch. Stellen Sie daher sicher, dass Sie stets aktuelle Versionen von PHP, MySQL und Webserver einsetzen. Sollten Sie keinen Einfluss auf Versionen der Serversoftware haben und sollte diese stark veraltet sein, weisen Sie Ihren Provider dringend darauf hin oder ziehen Sie direkt einen Wechsel in Betracht. Wird zudem Apache als Webserver eingesetzt, gibt es einige kleinere Tricks und Kniffe, um diesen ein wenig sicherer zu machen. So können Sie beispielsweise über den Eintrag „Options-Indexes“ in der .htaccess-Datei im Wurzelverzeichnis Ihrer TYPO3-Installation das so genannte Directory-Listing deaktivieren. Dies verhindert den Zugriff auf Ordner, die keine index-Datei beinhalten und so eine Liste aller enthaltenen Dateien zeigen würden (z. B. das Verzeichnis „/fileadmin/ “). Wer direkten Zugriff auf die httpd.conf des Apache-Servers hat, kann auch mittels „ServerTokens ProductOnly“ verhindern, dass der Webserver bei jeder Anfrage im HTTP-Header oder bei Fehlerseiten die vollständige Server- und Betriebssystemversion anzeigt.
Auf der Hut sein
Ein nicht unwichtiger Faktor bei der Sicherheit von Systemen ist die Information. Sie sollten wissen, wann es eine neue TYPO3-Version gibt oder wann das TYPO3-Security-Team auf Schwachstellen in Erweiterungen hinweist. Das Team veröffentlicht dazu so genannte Security-Bulletins [3]. Um immer auf dem aktuellsten Stand zu bleiben, sollten Sie zudem die Mailingliste „TYPO3-announce“ [4] abonnieren. So bekommen Sie aktuelle Informationen zu Veröffentlichungen in den E-Mail-Postkasten. Und keine Sorge: Sie bekommen außer diesen E-Mails auch keine anderen, wie es in Diskussions-Mailinglisten der Fall ist.
Dies ist natürlich nicht das ganze Geheimnis der Sicherheit, sondern es sind lediglich einige simple Methoden, die helfen können, Ihre TYPO3-Installation ein wenig sicherer zu machen. Grundsätzlich gilt natürlich immer auch, sich selbst und die Redakteure für das Thema Sicherheit zu sensibilisieren. Zu einfach zu erratene Passwörter oder die Verwendung alter Webbrowser können zu ebenbürtigen Sicherheitsproblemen führen wie Fehler in der Software.
5 Antworten
von Sebastian Gebhard 12.01.2010 (09:10Uhr) 1.
1. Ich weiß der Artikel wurde 1:1 aus dem Magazin übernommen, aber vllt könnt ihr das SVN-Beispiel noch auf die aktuelle Version 4.2.10 oder 4.3.0 anpassen. Jemand, der das hier als aktuellen Artikel versteht, könnte denken 4.2.8 wäre die aktuelle Version und holt sich möglicherweise einen gefährdeten Core.
2. Der Tipp mit den reviewed extensions ist ja theoretisch nett, leider zeigt sich in der Praxis, dass dieses Feature seinen Nutzen verloren hat. Es werden schon seit langem keine Extensions mehr reviewed. Das bedeutet, dass viele essentielle Extensions dann nicht zur Verfügung stehen. Andersherum wurden die früher schon einmal reviewten Extensions in der Zwischenzeit meistens deutlich weiterentwickelt, wobei sich auch Sicherheitslücken eingeschlichen haben können. Leider fehlt der Association wohl die Manpower um diese Aufgabe weiter zu bewältigen. Helfen kann man übrigens indem man Mitglied wird.
Viele Grüße,
(derzeitiges Nicht-Mitglied) Sebastian
von no5251 12.01.2010 (10:34Uhr) 2.
Wer mehrere Installationen zu pflegen hat und nicht ständig alle manuell auf Risiken prüfen möchte kann auch den Dienst von http://www.typo3watchdog.com nutzen.
Viele Grüße
Marco
von Ulf Kosack 02.02.2010 (18:07Uhr) 3.
Zu dem Abschnitt "Schotten dicht machen". SSL ist natürlich das mittel der Wahl, aber es reicht doch auch im Install-Tool den Wert $TYPO3_CONF_VARS[BE][lockSSL] auf 1 zu setzen. Dann erfolgt die Anmeldung am BE über SSL und nach erfolgreichem Login geht es wieder mit http weiter. Wer ganz sicher gehen will, kann es ja auch auf 2 setzen. Dann ist das komplette Backend verschlüsselt.
Meines Erachtens hat das den gleichen Effekt wie die Rewrite-Regel in htaccess, nur dass das Install-Tool ein Konfigurationsoberfläche dafür bietet, oder?
Viele Grüße
Ulf
von Michael Feinbier 03.02.2010 (10:28Uhr) 4.
@Sebastian: Natürlich könnte man den Artikel anpassen und auf die Version 4.3.0 anpassen. Aber das löst ja das 'Problem' nicht. Mittlerweile gibt es ja schon 4.3.1 die gegenüber der .0 wieder wichtige Sicherheitsupdates enthält.
Man müsste so also bei jedem Update alle Artikel durchgehen und anpassen. Schätze, die Arbeit wird sich niemand machen wollen. Die geistige Leistung eines Administrators beim Checkout die Versionsnummer mit der aktuellsten zu vertauschen sollte wohl nicht zu viel verlangt sein, oder?
@Ulf: Ja die Option im Install Tool ist durchaus eine adäquate Lösung die vermutlich auch einfacher ist als eine RewriteRegel. Wie gut oder sicher das gegenüber mod_rewrite ist, kann ich nicht sagen. Schlecht wird es sicher nicht sein ;)
von t3manager 19.03.2011 (20:55Uhr) 5.
@ No5251
Auch t3manager.com bietet inzwischen ein nützliches Dashboard um detailierte Informationen über jede TYPO3 Installation zu erhalten.