TYPO3.org: Der “Hack” und die Medien
Wahrscheinlich haben es die meisten von Euch mitbekommen. Durch das Herausfinden eines zu simplen Backend-Passworts (wahrscheinlich sowas wie “mutti”…) eines Benutzers hat ein “Hacker” Zugang zu dem Backend von typo3.org erlangt. Natürlich ist das keine schöne Sache.
Wenn ich mir aber das “Echo” in den einschlägigen Webseiten ansehe, bin ich erschreckt.
Es ist festzuhalten, dass an vielen Stellen davon die Rede ist, dass die typo3.org-Webseite gehackt wurde. Dies verleitet leider viele dazu, zu behaupten, der “Angreifer” sei durch eine Sicherheitslücke in TYPO3 in das Backend gelangt – man schaue sich mal die Trolle in dem Heise-Artikel an. Dies ist nicht der Fall. Trotzdem hält sich das Gerücht hartnäckig.
Aus meiner Sicht gibt es zwei Lehren aus dem Fall zu ziehen:
a) Jeder, der etwas schreibt, sollt vorher ein wenig recherchieren um oben genannte Halbwahrheiten erst gar nicht zu verbreiten.
b) TYPO3 braucht eine “Kennwortkomplexitätsprüfung” (ähnlich zu Windows) für BE- und FE-User und es muss Standard werden, dass die FE-User-Passwörter verschlüsselt abgelegt werden. Wäre zumidest die erste Bedingung erfüllt gewesen, dann hätte es diesen “Einbruch” nicht gegeben.
Bisher – toitoitoi waren alle echten Sicherheitlücken in der Regel nicht im TYPO3-Core sondern in schlechten Extensions.
Ach und eins noch: Alle, die immer gleich schreien “Ist doch klar, mit diesem langhaarigebombenlegerPHP”: Klick mich.
Popularity: 1%
Werbung
Loading ...
2008-11-16 - 6.23 am
Hallo Thomas!
Schöner aufklärender Beitrag. Mutti macht aber auch nur Probleme; frag mal Claudio!
2008-11-16 - 9.54 am
Hihi :-) Hi Marcus!
2008-11-17 - 10.38 am
Zur Mutti: Auch wenn es Angriffe auf SSH sind und nicht auf T3, vielleicht trotzdem interessant: http://zeroq.kulando.de/post/2.....ce-attacks
Gruß,
Simon
2008-11-17 - 7.57 pm
Naja, ob es nun ein schlechtes Passwort war oder nicht, es geht mir persönlich mehr um die Basissicherheit.
Sicher ist eine pass Policy was gutes, immer rein damit.
Trotzdem frag ich mich, warum wird einem überhaupt angeboten, ein passwort, und sei es *nur* eins für einen fe_user, in klartextform abzuspeichern.
Warum wird ein standardpasswort fuer den admin user beim ersten login gesetzt, und nicht ein jedesmal neu generiertes (siehe auch wordpress).
Warum wird nicht gleich darauf geachtet, dass T3 eventuell auch im Safe mode betrieben wird?
Wieso wird der chown bei extensiondownloads aus dem TER nicht an die eigene kiste angepasst (bei mir gibts keinen drwiki user…).
Warum übernimmt das installtool nicht gleich nen chmod von Dateien, warum wird dies den eher unbedarften webentwicklern überlassen.
Das sind nur ein paar Punkte…
2008-11-17 - 8.17 pm
Hi!
… und mit allen hast Du vollkommen recht! Aber: Er gibt mir in dem Posting erstmal darum, auf die falschen Darstellungen an machen Stellen hinzuweisen.
2008-11-18 - 3.01 pm
@Oliver:
Safe mode ist deprecated ist wird demnächst nicht mehr von PHP unterstützt/angeboten.
Ich kenne eine Installation mit 100+ Instanzen, die sowohl open_basedir als auch safe_mode parallel erfolgreich einsetzt. Wenn’s bei Dir damit nicht klappt, machst Du irgendwas falsch.
bzgl. Installtool:
Es gibt ein Projekt, dass sich mit der Verbesserung des Installers beschäftigt. Du kannst Dich gern daran beteiligen! ;-)
2008-11-18 - 9.14 pm
@Markus
Danke für die Info bezüglich safe_mode, gut zu hören, ich hoffe, es kommt was anwenderfreundlicheres her;-)
stimmt schon, dass das mit typo3 geht, und ich habs auch zum. auf einigen webs im Einsatz, aber die Konfiguration ist alles andere als ‘Webby’-freundlich (als alter GNU’ler machts mir natürlich so keine Probs…)
Danke auch für die Info bezüglich des Installtools, dann werd ich ma wieder ins Wiki reinschaun, und meinen senf wo “drann hängen”;-)