Software & Infrastruktur

Sicherheitscheckliste für TYPO3-Installationen: Schotten dicht

Im Vergleich zu anderen Open-Source-Anwendungen und Content Management Systemen gilt der TYPO3-Kern als ziemlich sicher. Allerdings ist dies kein Grund, die Hände in den Schoß zu legen. Damit eine TYPO3-Installation wirklich sicher ist und bleibt, gilt es einige Regeln zu beachten, die in diesem Artikel vorgestellt werden.

Web-Dienste wie md5.rednoize.com ermöglichen es, einen md5-Hash-Wert in ein Klartextpasswort zurückzuwandeln.

Web-Dienste wie md5.rednoize.com ermöglichen es, einen md5-Hash-Wert in ein Klartextpasswort zurückzuwandeln.

Für viele Softwareanwendungen kursieren im Internet Anleitungen, die beschreiben, wie man Sicherheitslücken ausnutzt, sogenannte Exploits. Auf entsprechenden Websites [1] kann man nach dem Namen einer Applikation suchen und erhält eine Liste mit Beispielcode für einen möglichen Angriff.

Während dort für eine bekannte CMS-Anwendung allein im ersten Monat dieses Jahres 21 Exploits veröffentlich wurden, findet sich für TYPO3 kein einziger Eintrag. Dies bedeutet allerdings nicht, dass TYPO3 vollkommen sicher ist. Der Quellcode des Basissystems wird zwar sorgfältig geprüft, sowohl von dem Entwicklungsteam selbst als auch durch externe Audits von Anwenderseite, aber dennoch lassen sich Fehler nicht vollständig ausschließen.

Ein möglicher Schwachpunkt sind vor allem die über 3.600 derzeit verfügbaren TYPO3-Erweiterungen, die von vielen unterschiedlichen Entwicklern bereitgestellt werden. Je nach Erfahrung, Sicherheitsbewusstsein und Disziplin der Programmierer kommt es immer wieder vor, dass in Extensions Sicherheitslücken durch Cross-Site-Scripting (XSS) oder SQL-Injection entdeckt werden.

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.