Diese Webseite verwendet Cookies. Diese werden z.B. für statistische Zwecke verwendet. mehr Informationenschließen
Aufklappen
Zuklappen

Archiv

2014 (65)
2013 (151)
Gefiltert nach Tag typo3 Filter zurücksetzen

19. März 2014

Irritierender Artikel

Ein vorgestern auf heise.de veröffentlichter Artikel mit dem durchaus drastischen Titel "Hunderte Typo3-Webseiten gehackt" verursacht einige Verunsicherung bei Nutzern des beliebten Content Management Systems TYPO3 .  

Was sich aufs erste Lesen als ziemlich massives Problem darstellt, relativiert sich nach Aussagen der TYPO3-Association sowie zahlreicher TYPO3-User und -Agenturen sehr schnell.

Anders als die Überschrift vermuten lässt, sind nicht nur TYPO3-Webseiten betroffen, sondern ebenso allerlei andere Systeme. Von den betroffenen TYPO3-Versionen scheinen lediglich veraltete Versionen für die Verbreitung von Spam genutzt worden zu sein. Auch bei der erwähnten LTS 4.5 Version scheinen nur alte - also älter als Version 4.5.32 - betroffen sein. Ganz abgesehen davon, dass aktuell noch nicht einmal bekannt ist, ob sich die Hacker überhaupt über das CMS oder vielleicht über ganz andere Wege - FTP, Server...- Zugang zu den Systemen verschafft haben. Selbst die genannten Zahlen scheinen nicht sonderlich glaubwürdig zu sein.

Von heise.de erwartet man eigentlich gut recherchierte und vernünftige formulierte Artikel und keine auf TYPO3-bashing abzielenden Vermutungen. Dass die Marke TYPO3 konsequent falsch geschrieben wird, ist ja verzeihlich. Den Eindruck zu erwecken, dass das System an sich unsicher sei und dabei auf eine derart schwache Faktenlage zu bauen ist enttäuschend.

Letztendlich gilt - und zwar unabhängig ob man mit Drupal, Joomla, TYPO3, Wordpress oder anderer Software arbeitet - dass die Systeme immer auf dem aktuellen Stand gehalten werden sollten. Und egal welche Präferenzen man hat, die bösen Junge sind bei ihrem Handwerk nicht so wählerisch...

Quellen:

22. September 2013

Bruteforce Angriffe auf TYPO3 abwehren

Aktuell finden massive Bruteforce-Angriffe auf TYPO3-Installationen statt. Das Vorgehen ist dabei reichlich plump: über Scripte werden unzählige Passwörter zum Standard-Admin-Benutzer "admin" durchgetestet. Hat der Angreifer das Passwort erfolgreich erraten, stehen ihm praktisch alle Tore offen.

Als allgemeine Regel gilt: Standarduser sollten wenn möglich umbenannt werden. Bei TYPO3 ist das mit wenigen Klicks erledigt. Damit macht man solche Attacken ein gutes Stück schwieriger.

Als Sicherheitsmechanismus lässt sich jedoch über das Installtool die sog. [warning_email_addr] eintragen, an welche bei Logins in das Installtool, aber auch bei jedem vierten fehlerhaften Backendlogin in Folge eine E-Mail versendet wird. Dieser durchaus sinnvolle und empfehlenswerte Mechanismus geht bei einer Bruteforceattacke natürlich nach hinten los.

Ein einzelner Angriff kann aus eigener Erfahrung locker mehrere hundert Mails verursachen, wer nicht nur eine TYPO3-Installationen betreut, kann sich ausmalen welche Mengen hier zusammenkommen können.

Die recht neue Erweiterung sysfire FailBan hat sich der Problematik meiner Meinung nach auf recht einfache wie effektive Art und Weise angenommen. Nach einer einstellbaren Menge von Fehlversuchen wird die betroffene IP-Adresse für eine einstellbare Zeit gesperrt. Und gesperrt heißt in dem Fall, dass man gar nicht mehr zur Loginmaske kommt, was vermutlich auch ein automatisertes Bruteforcescript irritieren sollte.

09. Juli 2013

TemplaVoila vor dem Aus?

Der letzte Entwickler (Tolleiv Nietsch) der relativ weit verbreiteten TYPO3-Erweiterung TemplaVoila - ursprünglich von Kaspar Skarhoj entwickelt - kündigte Anfang Juni das Ende seines Engagements an, was durchaus für einigen Trubel in der Community sorgte und sowohl positive als auch negative Reaktionen hervorrief.

Aktuell bleibt offen, wie lange und ob TemplaVoila überhaupt noch eine Zukunft hat. Auf Grund der Verbreitung gehe ich davon aus, dass es uns noch eine Zeit lang erhalten bleiben wird.

Wie man zur dieser Erweiterung steht sei auch dahin gestellt. Die Sache zeigt aber, dass es durchaus angebracht ist, gut zu überlegen, auf welche Systeme - von der Frage des richtigen CMS bis zu den eingesetzten Plugins - man setzt und welche überhaupt notwendig sind.

Für die Zukunft von TYPO3 braucht man sich keine Sorgen zu machen. Doch der planlose Einsatz von TemplaVoila, YAML, Grid Elements oder gar von ominösen sog. Entwicklertemplates bei einfachen und selbst bei komplexer aufgebauten Webseiten ist zumindest diskussionswürdig.

Es mag Fälle geben, in denen die genannten Erweiterungen auf jeden Fall Sinn machen, keine Frage. Aber ich habe leider schon genug Installation gesehen, in denen alle Anforderungen problemlos mit Standardmitteln von TYPO3 hätten gelöst werden können. Seiten- und Inhaltslayouts sowie kreatives Templating lassen grüßen. Im Zweifelsfall noch die Erweiterung Multicolumn für die Kombination von ein- und mehrspaltigem Inhalten.

Der Vorteil von weniger Erweiterungen? Keine Probleme bei Core-Updates und Versionssprüngen, ggf. leichte Geschwindigkeitsverbesserungen, keine Abhängigkeit von einzelnen Erweiterungen, weniger potenzielle Sicherheitsprobleme (denn die sitzen in den meisten Fällen in den Erweiterungen).

Und je tiefer eine Erweiterung in das Grundsystem eingreift, desto unschöner ist es, diese wieder zurückzubauen. Eine Galerie-Extension ist z.B. normalerweise schnell getauscht, TemplaVoila aus einem umfangreiches TYPO3-Projekt zu entfernen und die Seite auf "Standard" umzustellen kann hier schon mehr Kopfzerbrechen bereiten. Es ist erfahrungsgemäß mit etwas Aufwand durchaus machbar, aber Spass ist etwas anderes.

Quellen:

13. März 2013

TYPO3 LTS wird fortgesetzt

Es gibt neue Informationen zu den Updatezyklen aktueller und kommender TYPO3-Versionen. Nachdem die Resonanz der ersten long-time-support-Version sehr positiv war, wird es mit TYPO3 6.2 eine nachfolgende LTS-Version geben. Geplant ist diese für Oktober 2013. Um den Übergang von 4.5 LTS auf 6.2 LTS zu erleichtern, wurde der Supportzeitraum für 4.5 bis Oktober 2014 verlängert. Es bleibt also ein volles Jahr um auf die nachfolgende LTS-Version zu wechseln.

Um größere Neuerungen parallel voranzutreiben, wird es vergleichbar zu den Versionen 4.6 und 4.7 auch bei 6.X wieder Releases mit kürzerem Support-Zeiträumen geben.

Quelle:

22. Februar 2013

tt_products E-Mail-Validierung

Die Erweiterung tt_products ist eine der bekanntesten und am häufigsten genutzten Shop-Extensions für TYPO3. Sie ist gut dokumentiert und lässt sich vergleichsweise einfach an bestehende Layouts anpassen.

Neben der immer etwas älteren OpenSource-Version bietet der Entwickler die neuste Version für einen überschaubaren Betrag an.

Ein kleines Manko - welches nach meiner Info auch in der neusten Version noch nicht behoben ist - ist, dass die Mailadresse bei Eingabe der Kundendaten nicht validiert wird. Bounces durch nicht erreichbare Mailadressen oder gar lästiger Spam können die Folge sein.

Mit ein paar Zeilen JavaScript lässt sich recht einfach eine simple Validierung erreichen.

jQuery.noConflict();
jQuery(document).ready(function() {
   // #mailckeck wäre die ID des Emailfeldes
    jQuery('#mailcheck').blur(function() { 

    jQuery(".error").hide();
   //#weiter wäre die ID des weiter-Buttons
    jQuery('#weiter').removeAttr('disabled');
    var hasError = false;
    var emailReg = /^([\w-\.]+@([\w-]+\.)+[\w-]{2,4})?$/;
    //var emailblockReg = /^([\w-\.]+@(?!gmail.com)(?!yahoo.com)(?!hotmail.com)([\w-]+\.)+[\w-]{2,4})?$/;

    var emailaddressVal = jQuery("#mailcheck").val();
    if(emailaddressVal == '') {
      jQuery("#UserEmail").after('<span class="error">Bitte Mailadresse eingeben!</span>');
      hasError = true;
      jQuery('#acceptagb').attr('disabled','disabled')
    }

    else if(!emailReg.test(emailaddressVal)) {
      jQuery("#mailcheck").after('<span class="error">Bitte eine korrekte Mailadresse eingeben!</span>');
      hasError = true;
      jQuery('#acceptagb').attr('disabled','disabled')
    }

    //else if(!emailblockReg.test(emailaddressVal)) {
    //  jQuery("#UserEmail").after('<span class="error">Keine Freemail adressen (auskommentiert...).</span>');
    //  hasError = true
    //}

    if(hasError == true) { return false; }

    });
});

Sobald das E-Mail-Feld nach einem Eintrag verlassen wird, wird die E-Mailadresse nach den definierten Kriterien geprüft. Fällt die Prüfung negativ aus, so wird der weiter-Button deaktiviert. Wenn alles passt, wird der Button wieder aktiviert.

Um Spam abzuhalten, wäre es sinnvoll den weiter-Button standardmäßig zu deaktivieren.

Das nützliche Script zur jQuery E-Mail-Validierung habe ich mehr oder minder 1 zu 1 von hier und lediglich auf tt_products angewendet.

HomeKontaktSucheDatenschutzImpressum