Anzeige
Anzeige
Software
Artikel merken

Das Security-Team: TYPO3 Teams im Portrait

Das TYPO3 Security-Team wurde während der Snowboardtour 2004 in Kitzbühel ins Leben gerufen. Auf den diversen Treffen hat sich seitdem eine heterogene Gruppe bestehend aus Entwicklern, Hostern und anderen Interessierten zusammengefunden, die sich um sicherheitsrelevante Probleme sowohl im TYPO3-Kern als auch in Extensions kümmert.

3 Min. Lesezeit
Anzeige
Anzeige

Die Hauptaufgabe des Teams liegt in der Behandlung von Sicherheitsmeldungen, die von Anwendern über das Formular auf der Teamseite [1] eingeschickt werden. Ziel ist es, binnen 24 Stunden den Reporter des potenziellen Sicherheitsproblems zu benachrichtigen, das Problem zu verifizieren und geeignete Maßnahmen zu ergreifen. Hierbei kann es sich, abhängig von der Art des Problems, um verschiedene Maßnahmen handeln: Bei Meldungen, die den TYPO3-Kern betreffen, kann das Team auf die Mithilfe einiger Kern-Entwickler zählen, die im Security-Team engagiert mitarbeiten. Hierdurch können relevante Probleme direkt gelöst und in das SVN geladen werden.

Anzeige
Anzeige

Bei Meldungen zur Sicherheit von Extensions, die rund 95 Prozent der sicherheitsrelevanten Meldungen ausmachen, gestaltet sich die Arbeit etwas anders: Zuerst versucht ein Mitglied des Teams die Lücke zu reproduzieren. Hierbei gilt natürlich: Je detaillierter der Reporter das Problem beschreibt, desto schneller kann der Autor benachrichtigt und ein Update veröffentlicht werden. Die Nennung von Beispielseiten, auf denen der Fehler reproduziert werden kann, beschleunigt den Ablauf in der Regel.

Incident Handling

Bei der Bearbeitung von potenziellen Sicherheitsproblemen ist Eile geboten, allerdings nicht zu Lasten der Qualität. Darum hat sich das Team klare Richtlinien gesetzt, wie mit solchen Meldungen umzugehen ist. Wichtig ist vor allem die schnellstmögliche Benachrichtigung des Reporters und des Autors, um das Problem zu lösen. Meldungen über etwaige Probleme werden daher an eine Mailingliste geschickt, die von den Teammitgliedern permanent beobachtet wird. Generell gilt folgende Vorgehensweise:

Anzeige
Anzeige
  • Meldung eines potenziellen Sicherheitsproblems via Formular
  • Analyse und Reproduktion durch das TYPO3 Security-Team.
  • Benachrichtigung des Kern-Teams/Extension-Developers.
  • Veröffentlichung eines Security-Bulletins auf den Team-Seiten und auf news.typo3.org.

Die Erfahrung der letzten zwei Jahre hat gezeigt, dass die häufigsten Fehler in Extensions auf klassische Sicherheitslücken, wie zum Beispiel Cross-Site-Scripting und SQL-Injections, zurückzuführen sind. Aus diesem Grund wurde mit der Neugestaltung von typo3.org das neue Extention Repository 2 eingeführt. Nun ist es möglich, Extension-Reviews nach dem Vier-Augen-Prinzip durchzuführen: Jede Extension wird unabhängig von zwei Mitgliedern des Teams auf Sicherheitsmängel hin überprüft.

Anzeige
Anzeige

Je nach Ergebnis der Reviews taucht eine Extension in der Liste der „Trusted Extensions“ auf. Aufgrund der ständig wachsenden Zahl an Extensions wird in den nächsten Wochen eine Untergruppe des Teams ins Leben gerufen, die sich speziell mit dieser Problematik auseinandersetzt. Hierfür werden weitere interessierte Programmierer als Reviewer gesucht, die helfen diese Reviews durchzuführen. Nähere Informationen dazu unter [2].
Ziel ist es, den Agenturen und Kunden eine Möglichkeit an die

Hand zu geben, eine möglichst sichere Umgebung für ihre Projekte zu schaffen. Hierzu gehört neben dem ständigen Überprüfen des Kerns vor allem eine breite Basis an überprüften Extensions. Zur Zeit finden Gespräche mit dem Certification-Team statt, um im Rahmen der TYPO3-Zertifizierungen auch Richtlinien für sichere Extensions zu veröffentlichen und Entwickler zu zertifizieren.
Unabhängig davon sollte aber jeder Extension-Entwickler die Coding Guidelines unter [3] beherzigen und sich mit Problemen wie Cross-Site-Scripting und SQL-Injections auseinandersetzen und seine Extensions daraufhin überprüfen.

Anzeige
Anzeige

Mitarbeit

Durch die Verteilung des Teams über halb Europa finden persönliche Meetings traditionell auf der Snowboardtour und der T3CON statt. Dies sind gute Gelegenheiten, mit dem Team in Kontakt zu treten und bei Interesse mitzuarbeiten. Außerdem können sich Interessierte jederzeit per Mail an security@typo3.org wenden. Voraussetzung sind fundierte PHP- und MySQL-Kenntnisse sowie die Bereitschaft, sich bei Reviews und Problemlösungen einzubringen.

Mehr zu diesem Thema
Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Schreib den ersten Kommentar!
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Anzeige
Anzeige