Teilen 0 Twittern 0
von , 30.04.2009

Interview zur TYPO3-Sicherheit: „Wer von sich denkt, keine Fehler zu machen, hat den ersten schon gemacht“

Søren Schaffstein ist seit Kurzem für die Presse- und Öffentlichkeitsarbeit von TYPO3 zuständig und hat uns im Interview einige Fragen rund um die Sicherheit des Open-Source-CMS beantwortet. Schließlich war es in den vergangenen Wochen in die Negativ-Schlagzeilen geraten, bis hin zu einem Bericht in der TV-Sendung „Planetopia“. Wie aber steht TYPO3 in Sachen Sicherheit da? Kann man dem System noch vertrauen? Welche Maßnahmen werden ergriffen, um die Sicherheit weiter zu erhöhen? Diese und andere Fragen hat uns Søren beantwortet.

t3n Magazin: Wer die Nachrichten der vergangenen Wochen verfolgt hat, könnte TYPO3 für das unsicherste CMS am Markt halten. Inwiefern ist da etwas dran?

Søren Schaffstein: In der Tat könnte in den letzten Wochen dieser Eindruck entstanden sein. Objektiv betrachtet ist aber wohl eher das Gegenteil der Fall. Wenn man sich auf gängigen Security-Websites, wo Exploits zu bekannten Programmen veröffentlicht werden, nach verschiedenen CMS umschaut, erhält man bei TYPO3 deutlich weniger Treffer.

Allgemein sollte man aber beim Vergleich von „Sicherheit“ vorsichtig sein – hier kann man nicht einfach irgendwelche „technischen Daten“ vergleichen und weiß dann bescheid. Wenn ich die Erfahrungen von verschiedensten Hostern zusammenfasse, kristallisiert sich für mich ganz eindeutig heraus, dass TYPO3 sehr sicher ist.

t3n Magazin: Aber woran liegt es dann, dass TYPO3 kürzlich so im Brennpunkt stand, sobald es um Sicherheitsfragen ging?

Søren Schaffstein: Wenn die Website des Bundesinnenministers gehackt wird und bei Schalke 04 die Hacker eine Falschmeldung über Topspieler Kevin Kuranyis Entlassung platzieren, sind das natürlich beste Zutaten für eine Platzierung unter den Top-News.

Trotzdem lag das wirkliche Versagen in beiden Fällen nicht nur bei TYPO3, sondern insbesondere bei den betreuenden Agenturen der jeweiligen Website.

Die Security-Patches wurden den Dienstleistern bereits zwei Tage vor Erscheinen angekündigt. So war genug Zeit, einen agenturweiten Patchday vorzubereiten. Professionelle Dienstleister sollten bereits wenige Stunden nach Erscheinen eines kritischen Patches die Websites Ihrer Kunden aktualisiert haben.

„Der TYPO3 Core wird mit Argusaugen überwacht“

t3n Magazin: Mal Hand aufs Herz: Es gibt doch auf jeden Fall Stellen, an denen TYPO3 in Sachen Security verbessert werden könnte - und müsste? Wo liegen die Stärken und Schwächen im Vergleich zu konkurrierenden Systemen?

Søren Schaffstein: Da brauchen wir noch nicht mal die Hand auf dem Herz. Wer von sich denkt, keine Fehler zu machen, hat den ersten schon gemacht. Viel wichtiger ist der verantwortungsbewusste Umgang mit den Fehlern.

Ein Schwachpunkt in der Sicherheitskette ist gleichzeitig TYPO3s größte Stärke: die Extensions. Jedermann kann neue Extensions für TYPO3 schreiben und auch im TYPO3 Extension Repository (TER) veröffentlichen. So kann man sich bei gedankenloser Installation einer Extension auch mal selbst ein Sicherheitsloch installieren.

Wir haben längst erkannt, dass wir mit manuellen Extension-Reviews nicht weiterkommen, der Arbeitsumfang ist einfach zu groß. Um alle neuen Extension-Versionen zu überprüfen, müssten wir etwa sechs Entwickler in Vollzeit für diese Aufgabe beschäftigen. Insofern konzentrieren wir uns auf die populärsten Extensions.

Die Anzeige im Extension Manager für nicht-reviewte Extensions werden wir zukünftig entfernen und den bisherigen Whitelist Ansatz werden wir dann durch eine Blacklist ersetzen.

Der TYPO3 Core hingegen wird vom TYPO3 Security Team mit Argusaugen überwacht. Das ist wiederum eine der Stärken von TYPO3, denn der Core gilt als ausgesprochen sicher.

t3n Magazin: Gibt es für TYPO3 ein Team oder einen Prozess, wie Security-Themen regelmäßig geregelt werden?

Søren Schaffstein: Das TYPO3 Security Team ist eines der aktivsten Teams in unserer Community und die Mitglieder haben wirklich was drauf. Ich erinnere mich da an einen Vortrag auf der TYPO3-Konferenz in der jemand aus dem Security Team mit einem russischen Hacker-Tool gezeigt hat, wie man ein Passwort errechnet. Leider brauchte das Tool etwa 60 Sekunden pro Buchstabe im Passwort. Kommentar des Vortragenden: „Das war mir ein wenig zu langsam. Ich habe den Algorithmus optimiert und jetzt braucht es nur noch 10 Sekunden pro Buchstabe.“

Das Security Team betrachtet den Code kritisch und verhindert die Veröffentlichung von unsicheren Programmteilen. Sollten Schwachstellen in bereits veröffentlichtem Code gefunden werden, wird ein Patch entwickelt und zur Verfügung gestellt.

„Wir arbeiten massiv an einer deutlich verbesserten Kommunikation“

t3n Magazin: Wie kann man als Entwickler über die neuesten TYPO3-Sicherheitsupdates informiert bleiben?

Søren Schaffstein: Das Wichtigste sind die Security-News. Die sollte jeder Betreiber einer TYPO3-Website abonniert haben. Dann kriegen Sie sofort mit, wenn irgendwo eine Schwachstelle auftaucht und wie man diese behebt. Gold wert ist auch ein guter Hoster und eine gute Internet-Agentur. Die haben im Idealfall den nötigen Patch eingespielt, bevor Sie selbst die Security-News zu Ende gelesen haben.

t3n Magazin: Zum Teil wird in der Diskussion die Sicherheit von Open-Source-Produkten an sich in Frage gestellt - schließlich kann der Quelltext auch mit schlechten Absichten von jedem analysiert werden. Sind proprietäre Systeme hier nicht überlegen?

Der gern genannte Vorteil, dass bei Closed-Source-Software nicht jeder in den Quelltext schauen kann, hat sich für mich in der Praxis noch nicht bemerkbar gemacht. Hast Du in der Vergangenheit mal verfolgt, wie viele Exploits z. B. für Windows und seine Komponenten gefunden und veröffentlicht wurden? Sobald eine Software nur eine genügend große Verbreitung erfahren hat, finden sich immer Personen, die aktiv die Schwachstellen suchen und ausnutzen.

Im Open-Source-Bereich hast Du demgegenüber zwei Vorteile. Erstens kann jeder im Quelltext lesen und gefundene Schwachstellen melden und zweitens bist Du selbst in der Lage, den Quellcode zu korrigieren, wenn Not am Mann ist.

t3n Magazin: Was unternimmt die TYPO3-Association, um das Bild von TYPO3 in der Öffentlichkeit wieder zu verbessern?

Søren Schaffstein: Aktuell arbeiten wir massiv an einer deutlich verbesserten Kommunikation. Es wird einen neuen Newsletter, einen Pressebereich auf der typo3.org und insgesamt einfach sehr viel mehr Öffentlichkeitsarbeit geben. Lass Dich überraschen, in der nächsten Zeit wird einiges passieren.

t3n Magazin: Wo siehst Du in dem Zusammenhang Deine wichtigsten Aufgaben?

Søren Schaffstein: Als Pressesprecher sehe ich meine Aufgabe zuerst einmal in der Kommunikation. Mein Ziel ist es, dass die Presse die TYPO3 Asscociation und mich als Pressesprecher als offene und kompetente Ansprechpartner wahrnimmt. Zukünftig wird dann hoffentlich bei uns nachgefragt, was tatsächlich an angeblichen Sicherheitslücken dran ist.

Weitere Artikel zu CMS, Interview, Open Source und TYPO3



Empfohlene Produkte

Kommentare: 0 Tweets: 0 Facebook-Likes: 0
30.04.2009

Empfohlene Artikel

Deine Meinung


(wird nicht veröffentlicht)