Stecken Sicherheitslücken nun vor allem in den Extensions von unerfahrenen Extension-Entwicklern? Tendenziell ist dies sicherlich richtig, aber zu den größten Gegenspielern von sicherer Software-Architektur zählen eben nicht nur Unerfahrenheit, sondern auch Bequemlichkeit und Zeitdruck. Davon ist der Arbeitsalltag beinahe jedes Entwicklers beeinflusst, gleiches gilt für Administratoren.

Unangemessen bequem agiert also nicht nur ein Extension-Entwickler, wenn er Checks zur Sicherheit seiner TYPO3-Extension entfallen lässt. Auch der Administrator einer TYPO3-Website handelt fahrlässig, wenn er eine Extension nutzt, aber nicht durch einen Blick in den Quellcode überprüft, wie sorgfältig diese konzipiert worden ist.

Pure Eingebung

„Vertraue niemals Nutzereingaben!“ – kaum ein Entwickler dürfte beim Klang dieser Worte Herzklopfen bekommen und voller Tatendrang zur Tastatur greifen. So wenig reizvoll die Umsetzung dieser Anforderung sein mag, so elementar wichtig und notwendig ist dieser Schritt. Und wer sich zusammenreißt und die Pflichten erledigen will, muss sich zunächst eine Frage beantworten, die gar nicht mal so trivial ist: Was sind eigentlich Nutzereingaben? Wo fangen sie an, wo hören sie auf? Viele werden beim Gedanken an Nutzereingaben sofort ein HTML-Adressformular oder die Maske einer Suchfunktion vor ihrem geistigen Auge sehen. Hilfreicher ist es allerdings, zunächst mal eine ungewohnte Sichtweise einzunehmen und einen Schritt zurückzugehen.

Relativ unbeachtet unter der schönen bunten Oberfläche des WWW befindet sich das Hypertext Transport Protocol (HTTP), ohne das Browser und Webserver niemals Kommunikationspartner sein könnten und das WWW nicht existieren würde. Grundlegendes Wissen über HTTP-Requests ist sehr nützlich, um die Typenvielfalt existierender Verwundbarkeiten, zum Beispiel HTTP-Response-Splitting oder Session-Hijacking, besser zu verstehen und zu vermeiden. Die wichtigen Aspekte von HTTP sind dabei relativ simpel.