Software & Infrastruktur

Tipps und Tricks für Admins: TYPO3 sicher betreiben

Seite 2 / 3

Des Pudels Kern

Auch der TYPO3-Kern selbst ist nicht unangreifbar. Ein entscheidender Faktor für die Sicherheit des Systems ist die Verwendung der jeweils aktuellen TYPO3-Version. Wem die Veröffentlichung einer neuen Version nach Bekanntwerden einer Sicherheitslücke nicht schnell genug geht, kann auf das Subversion-Repository zurückgreifen. Dort sind die jeweils aktuellen Entwicklungszweige tagesaktuell verfügbar. Um beispielsweise die aktuellste Version des 4.2-Entwicklungszweigs zu erhalten, genügt folgender Befehl auf der Shell:

SHELL
svn co https://svn.typo3.org/TYPO3v4/Core/branches/TYPO3_4-2/ typo3_src_4-2

Listing 1

Dadurch wird der Ordner „typo3_src_4-2“ angelegt, auf den dann ein eventueller Symlink zeigen kann. Um den TYPO3-Kern zu aktualisieren, genügt es, in den Ordner hineinzuwechseln und ein „svn up“ auszuführen. Der lokale TYPO3-Kern wird dann mit dem im Repository abgeglichen und gegebenenfalls aktualisiert.

Über das Subversion-Repository ist es auch möglich, nur von veröffentlichter Version zu Version zu springen. Dazu bedient man sich der so genannten „Tags“. Jede Version ist als Tag im Repository abgelegt. Der folgende Befehlt macht einen Checkout (co) auf die Version 4.2.7:

SHELL
svn co https://svn.typo3.org/TYPO3v4/Core/tags/TYPO3_4-2-7 typo3_src_4-2

Listing 2

Um auf einen neuen Tag, also eine neue Version zu wechseln, bedienen Sie sich des Switch-Kommandos (sw):

SHELL
svn sw https://svn.typo3.org/TYPO3v4/Core/tags/TYPO3_4-2-8 typo3_src_4-2
U typo3_src_4-2/ChangeLog
U typo3_src_4-2/t3lib/config_default.php
U typo3_src_4-2/typo3/sysext/setup/mod/index.php
U typo3_src_4-2/typo3/sysext/rtehtmlarea/ext_emconf.php
Updated to revision 5712.

Listing 3

In wenigen Sekunden enthält Ihr Ordner „typo3_src_4-2“ die Version 4.2.8, statt zuvor 4.2.7.

Das Salz in der Suppe

TYPO3 speichert die Passwörter der Frontend-User im Klartext. Ein Angreifer, der unberechtigten Zugriff auf die Datenbank erlangt, kennt damit auch alle Passwörter der Frontend-User. Die Passwörter der Backend-User sind zwar mit einem MD5-Hash versehen, aber auch diese sind nicht gänzlich unknackbar.

Abhilfe schafft hier die Extension „t3sec_saltedpw“ [2]. Diese versieht sowohl Frontend- als auch Backend-Benutzerpasswörter mit so genannten „salted Hashes“. Dabei wird das als MD5 abgespeicherte Passwort nochmals mit einem Zufallswert kombiniert, um so die Sicherheit drastisch zu erhöhen. Um die Extension aktiv zu schalten, genügt es, sie aus dem TER zu laden, sie zu installieren und dann durch folgende Einträge in der localconf.php zu aktivieren:

PHP
$TYPO3_CONF_VARS['FE']['loginSecurityLevel'] = 'normal';
$TYPO3_CONF_VARS['BE']['loginSecurityLevel'] = 'normal';

Listing 4

Beachten Sie dabei unbedingt, dass die Passwörter im Klartext vom Browser an den Server übermittelt werden.

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

5 Kommentare
Sebastian Gebhard

1. Ich weiß der Artikel wurde 1:1 aus dem Magazin übernommen, aber vllt könnt ihr das SVN-Beispiel noch auf die aktuelle Version 4.2.10 oder 4.3.0 anpassen. Jemand, der das hier als aktuellen Artikel versteht, könnte denken 4.2.8 wäre die aktuelle Version und holt sich möglicherweise einen gefährdeten Core.

2. Der Tipp mit den reviewed extensions ist ja theoretisch nett, leider zeigt sich in der Praxis, dass dieses Feature seinen Nutzen verloren hat. Es werden schon seit langem keine Extensions mehr reviewed. Das bedeutet, dass viele essentielle Extensions dann nicht zur Verfügung stehen. Andersherum wurden die früher schon einmal reviewten Extensions in der Zwischenzeit meistens deutlich weiterentwickelt, wobei sich auch Sicherheitslücken eingeschlichen haben können. Leider fehlt der Association wohl die Manpower um diese Aufgabe weiter zu bewältigen. Helfen kann man übrigens indem man Mitglied wird.

Viele Grüße,
(derzeitiges Nicht-Mitglied) Sebastian

Antworten
no5251
no5251

Wer mehrere Installationen zu pflegen hat und nicht ständig alle manuell auf Risiken prüfen möchte kann auch den Dienst von http://www.typo3watchdog.com nutzen.

Viele Grüße
Marco

Antworten
Ulf Kosack

Zu dem Abschnitt „Schotten dicht machen“. SSL ist natürlich das mittel der Wahl, aber es reicht doch auch im Install-Tool den Wert $TYPO3_CONF_VARS[BE][lockSSL] auf 1 zu setzen. Dann erfolgt die Anmeldung am BE über SSL und nach erfolgreichem Login geht es wieder mit http weiter. Wer ganz sicher gehen will, kann es ja auch auf 2 setzen. Dann ist das komplette Backend verschlüsselt.

Meines Erachtens hat das den gleichen Effekt wie die Rewrite-Regel in htaccess, nur dass das Install-Tool ein Konfigurationsoberfläche dafür bietet, oder?

Viele Grüße
Ulf

Antworten
Michael Feinbier

@Sebastian: Natürlich könnte man den Artikel anpassen und auf die Version 4.3.0 anpassen. Aber das löst ja das ‚Problem‘ nicht. Mittlerweile gibt es ja schon 4.3.1 die gegenüber der .0 wieder wichtige Sicherheitsupdates enthält.
Man müsste so also bei jedem Update alle Artikel durchgehen und anpassen. Schätze, die Arbeit wird sich niemand machen wollen. Die geistige Leistung eines Administrators beim Checkout die Versionsnummer mit der aktuellsten zu vertauschen sollte wohl nicht zu viel verlangt sein, oder?

@Ulf: Ja die Option im Install Tool ist durchaus eine adäquate Lösung die vermutlich auch einfacher ist als eine RewriteRegel. Wie gut oder sicher das gegenüber mod_rewrite ist, kann ich nicht sagen. Schlecht wird es sicher nicht sein ;)

Antworten
t3manager

@ No5251

Auch t3manager.com bietet inzwischen ein nützliches Dashboard um detailierte Informationen über jede TYPO3 Installation zu erhalten.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung