Anzeige
Anzeige
Anzeige
Anzeige
Software
Verpasse keine News mehr!

Das Security-Team: TYPO3 Teams im Portrait

Das TYPO3 Security-Team wurde während der Snowboardtour 2004 in Kitzbühel ins Leben gerufen. Auf den diversen Treffen hat sich seitdem eine heterogene Gruppe bestehend aus Entwicklern, Hostern und anderen Interessierten zusammengefunden, die sich um sicherheitsrelevante Probleme sowohl im TYPO3-Kern als auch in Extensions kümmert.

3 Min.
Artikel merken
Anzeige
Anzeige

Die Hauptaufgabe des Teams liegt in der Behandlung von Sicherheitsmeldungen, die von Anwendern über das Formular auf der Teamseite [1] eingeschickt werden. Ziel ist es, binnen 24 Stunden den Reporter des potenziellen Sicherheitsproblems zu benachrichtigen, das Problem zu verifizieren und geeignete Maßnahmen zu ergreifen. Hierbei kann es sich, abhängig von der Art des Problems, um verschiedene Maßnahmen handeln: Bei Meldungen, die den TYPO3-Kern betreffen, kann das Team auf die Mithilfe einiger Kern-Entwickler zählen, die im Security-Team engagiert mitarbeiten. Hierdurch können relevante Probleme direkt gelöst und in das SVN geladen werden.

Anzeige
Anzeige

Bei Meldungen zur Sicherheit von Extensions, die rund 95 Prozent der sicherheitsrelevanten Meldungen ausmachen, gestaltet sich die Arbeit etwas anders: Zuerst versucht ein Mitglied des Teams die Lücke zu reproduzieren. Hierbei gilt natürlich: Je detaillierter der Reporter das Problem beschreibt, desto schneller kann der Autor benachrichtigt und ein Update veröffentlicht werden. Die Nennung von Beispielseiten, auf denen der Fehler reproduziert werden kann, beschleunigt den Ablauf in der Regel.

Incident Handling

Bei der Bearbeitung von potenziellen Sicherheitsproblemen ist Eile geboten, allerdings nicht zu Lasten der Qualität. Darum hat sich das Team klare Richtlinien gesetzt, wie mit solchen Meldungen umzugehen ist. Wichtig ist vor allem die schnellstmögliche Benachrichtigung des Reporters und des Autors, um das Problem zu lösen. Meldungen über etwaige Probleme werden daher an eine Mailingliste geschickt, die von den Teammitgliedern permanent beobachtet wird. Generell gilt folgende Vorgehensweise:

Empfohlene redaktionelle Inhalte

Hier findest du externe Inhalte von TargetVideo GmbH, die unser redaktionelles Angebot auf t3n.de ergänzen. Mit dem Klick auf "Inhalte anzeigen" erklärst du dich einverstanden, dass wir dir jetzt und in Zukunft Inhalte von TargetVideo GmbH auf unseren Seiten anzeigen dürfen. Dabei können personenbezogene Daten an Plattformen von Drittanbietern übermittelt werden.

Hinweis zum Datenschutz

  • Meldung eines potenziellen Sicherheitsproblems via Formular
  • Analyse und Reproduktion durch das TYPO3 Security-Team.
  • Benachrichtigung des Kern-Teams/Extension-Developers.
  • Veröffentlichung eines Security-Bulletins auf den Team-Seiten und auf news.typo3.org.

Die Erfahrung der letzten zwei Jahre hat gezeigt, dass die häufigsten Fehler in Extensions auf klassische Sicherheitslücken, wie zum Beispiel Cross-Site-Scripting und SQL-Injections, zurückzuführen sind. Aus diesem Grund wurde mit der Neugestaltung von typo3.org das neue Extention Repository 2 eingeführt. Nun ist es möglich, Extension-Reviews nach dem Vier-Augen-Prinzip durchzuführen: Jede Extension wird unabhängig von zwei Mitgliedern des Teams auf Sicherheitsmängel hin überprüft.

Anzeige
Anzeige

Je nach Ergebnis der Reviews taucht eine Extension in der Liste der „Trusted Extensions“ auf. Aufgrund der ständig wachsenden Zahl an Extensions wird in den nächsten Wochen eine Untergruppe des Teams ins Leben gerufen, die sich speziell mit dieser Problematik auseinandersetzt. Hierfür werden weitere interessierte Programmierer als Reviewer gesucht, die helfen diese Reviews durchzuführen. Nähere Informationen dazu unter [2].
Ziel ist es, den Agenturen und Kunden eine Möglichkeit an die

Hand zu geben, eine möglichst sichere Umgebung für ihre Projekte zu schaffen. Hierzu gehört neben dem ständigen Überprüfen des Kerns vor allem eine breite Basis an überprüften Extensions. Zur Zeit finden Gespräche mit dem Certification-Team statt, um im Rahmen der TYPO3-Zertifizierungen auch Richtlinien für sichere Extensions zu veröffentlichen und Entwickler zu zertifizieren.
Unabhängig davon sollte aber jeder Extension-Entwickler die Coding Guidelines unter [3] beherzigen und sich mit Problemen wie Cross-Site-Scripting und SQL-Injections auseinandersetzen und seine Extensions daraufhin überprüfen.

Anzeige
Anzeige

Mitarbeit

Durch die Verteilung des Teams über halb Europa finden persönliche Meetings traditionell auf der Snowboardtour und der T3CON statt. Dies sind gute Gelegenheiten, mit dem Team in Kontakt zu treten und bei Interesse mitzuarbeiten. Außerdem können sich Interessierte jederzeit per Mail an security@typo3.org wenden. Voraussetzung sind fundierte PHP- und MySQL-Kenntnisse sowie die Bereitschaft, sich bei Reviews und Problemlösungen einzubringen.

Der Autor

Michael Hirdes betreibt seit 10 Jahren die Firma ELIOS, deren Schwerpunkt auf Hosting, Consulting und Schulungen im Open Source Bereich liegt. Zum TYPO3-Projekt kam er 2002, ist im Event Team aktiv und übernahm im Frühjahr 2006 den Posten des Security Team Leaders. In seiner Freizeit hört er fragwürdige Musik und treibt sich mit seinem Hund in den weiten Wäldern Hamburgs herum.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Kommentare

Community-Richtlinien

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Kommentar abgeben

Melde dich an, um Kommentare schreiben und mit anderen Leser:innen und unseren Autor:innen diskutieren zu können.

Anmelden und kommentieren

Du hast noch keinen t3n-Account? Hier registrieren