Startseite
Abo
Jobbörse
Marktplatz
Werben
Sponsored Post
Partnerprogramm
Gib uns einen Tipp!
- Dein Tipp
  
  Bitte wähle aus:
  
  Dein Anliegen in einem Satz zusammengefasst:
  
  Beschreibe deinen Tipp im Detail:
  
  Dein Name:
  
  E-Mail-Adresse für Rückfragen:
  
  abbrechen

t3n Magazin Social Media, Web 2.0, E-Business und Open Source

Kennst Du schon unser t3n Magazin
für Social Media, E-Business und Web-Technologien?

Falls nicht schau doch hier ganz unverbindlich mal rein!

Jetzt reinblättern

Diesen Hinweis nicht mehr zeigen

Teilen 0 Twittern 0

von Michael Hirdes, 03.09.2006

Das Security-Team: TYPO3 Teams im Portrait

Aus dem
t3n Magazin Nr. 5

Meldung eines potenziellen Sicherheitsproblems via Formular
Analyse und Reproduktion durch das TYPO3 Security-Team.
Benachrichtigung des Kern-Teams/Extension-Developers.
Veröffentlichung eines Security-Bulletins auf den Team-Seiten und auf news.typo3.org.

Die Erfahrung der letzten zwei Jahre hat gezeigt, dass die häufigsten Fehler in Extensions auf klassische Sicherheitslücken, wie zum Beispiel Cross-Site-Scripting und SQL-Injections, zurückzuführen sind. Aus diesem Grund wurde mit der Neugestaltung von typo3.org das neue Extention Repository 2 eingeführt. Nun ist es möglich, Extension-Reviews nach dem Vier-Augen-Prinzip durchzuführen: Jede Extension wird unabhängig von zwei Mitgliedern des Teams auf Sicherheitsmängel hin überprüft.

Je nach Ergebnis der Reviews taucht eine Extension in der Liste der „Trusted Extensions“ auf. Aufgrund der ständig wachsenden Zahl an Extensions wird in den nächsten Wochen eine Untergruppe des Teams ins Leben gerufen, die sich speziell mit dieser Problematik auseinandersetzt. Hierfür werden weitere interessierte Programmierer als Reviewer gesucht, die helfen diese Reviews durchzuführen. Nähere Informationen dazu unter [2]. Ziel ist es, den Agenturen und Kunden eine Möglichkeit an die

Hand zu geben, eine möglichst sichere Umgebung für ihre Projekte zu schaffen. Hierzu gehört neben dem ständigen Überprüfen des Kerns vor allem eine breite Basis an überprüften Extensions. Zur Zeit finden Gespräche mit dem Certification-Team statt, um im Rahmen der TYPO3-Zertifizierungen auch Richtlinien für sichere Extensions zu veröffentlichen und Entwickler zu zertifizieren. Unabhängig davon sollte aber jeder Extension-Entwickler die Coding Guidelines unter [3] beherzigen und sich mit Problemen wie Cross-Site-Scripting und SQL-Injections auseinandersetzen und seine Extensions daraufhin überprüfen.

Mitarbeit

Durch die Verteilung des Teams über halb Europa finden persönliche Meetings traditionell auf der Snowboardtour und der T3CON statt. Dies sind gute Gelegenheiten, mit dem Team in Kontakt zu treten und bei Interesse mitzuarbeiten. Außerdem können sich Interessierte jederzeit per Mail an security@typo3.org wenden. Voraussetzung sind fundierte PHP- und MySQL-Kenntnisse sowie die Bereitschaft, sich bei Reviews und Problemlösungen einzubringen.

Der Autor

Michael Hirdes betreibt seit 10 Jahren die Firma ELIOS, deren Schwerpunkt auf Hosting, Consulting und Schulungen im Open Source Bereich liegt. Zum TYPO3-Projekt kam er 2002, ist im Event Team aktiv und übernahm im Frühjahr 2006 den Posten des Security Team Leaders. In seiner Freizeit hört er fragwürdige Musik und treibt sich mit seinem Hund in den weiten Wäldern Hamburgs herum.