Thema: Zusätzliche Sicherheitskomponenten

So genannte "Sicherheitskomponenten" halte ich auch für Blödsinn, hatt ich ganz oben schon mal beschrieben. Darin stimmen wir also überein.

Zitat von Rumburack

Dann geben die Bots halt die Adresse mit einem gedachten Passwort ein. Irgendeins wird irgendwo schon gehen.

Wenn es ein Trivialpasswort ist, dann wird es sicher auch Treffer geben.

Sowas bringt meiner Meinung nach garnichts. Ebenso wie der htaccesschutz fürs Backend.

Hierzu brauchen die Bots aber einen unbekannten Benutzernamen und ein unbekanntes Paswort. Da wird der Aufwand im Verhältnis zur Trefferchance zu groß, es gibt genügend ungesicherte Seiten. Die "Hacker", welche mit Bots arbeiten, sind auf Masse und schnellen Erfolg aus. Da bremst so ein Verzeichnisschutz per .htaccess gewaltig.

Die Sicherheit kommt einzig und alleine vom Joomla.

Ich dachte bisher, daß das System für die Sicherheit zuständig ist. Oder kann ich jetzt meinen zusammengefrickelten Server online stellen, Joomla kümmert sich um die Sicherheit.

Die bekannten Angriffe kamen ausschlieslich über veraltete Joomlaversionen...

Wenn im Joomlacore eine Lücke gefunden und genutzt wird, ist Joomla unsicher. Veraltet ist es erst, wenn ein Update bereitgestellt ist, es aber von Admin nicht innerhalb von x Tagen eingespielt wird.

Alles aktuell halten und halbwegs sichere Passwörter sind ausreichend.

Aktuell halten ist OK, wobei nach Murphys Law ein Patch genau dann bereitgestellt wird, wenn sich der Joomla Admin für 3 Wochen in den Urlaub verabschiedet hat.
Sichere Passwörter? Ähmm, dann geben die Bots halt ein gedachtes Passwort ein, irgendeins wird irgendwo schon gehen.

Was ich persönlich für sinnvoll halte ist das entfernen des Adminnicks.

Wenn Du mit entfernen das Ändern von "admin" in irgend einen anderen Nick meinst, dann stimme ich zu.

Zitat von Rumburack

Und mir wurde noch keine Seite gehackt weil mein Backend nicht mit htacces gesichert ist.

Auch wenn Joomla samt aller installierter Erweiterungen up to date ist, blockt so ein Schutz doch schon den Versuch eines erfolglosen Hacks. Und so ein Schutz kann dem Admin u.U. helfen, seine 3 Woche Urlaub mit einigermaßen ruhigen Gewissen zu geniessen. Allerdings kann es kein Ersatz für ein bewußt nicht eingespieltes Update sein.

Wenn das Backend deiner Meinung nach so gefährdet ist, warum kommt dann nicht mehr Sicherheit vom Coreteam?

Die Absicherung über SSL ist doch implemetiert, das Coreteam hat also reagiert.

Zitat von Rumburack

Damit meine ich das löschen des Nicks. Was nicht da ist kann nicht attackiert werden. Jeder andere Superadmin mit anderer ID hat ja die selben Rechte.

Wie ich hier grad schrieb, ist mich schon eine Erweiterung (weiß nicht mehr welche das war) untergekommen, die mit einer anderen Superadmin-ID als 62 nicht zurechtkam. Ist mglw. das schlechte Beispiel in der Programmierkunst, hab das dann aber nicht mehr weiter verfolgt. Mir reicht ein Ändern des Benutzernamens des 62er Admins und ein Verzeichnisschutz.

Urlaub ist mir nicht vergönnt sagt mein Cheffe daher ziehe ich sowas nicht in Betracht.

Oooch, mir kommen die Tränen. Wenn ich Zeit habe, bedaure ich Dich mal. Hab aber grad keine Zeit, muß meinen nächsten Urlaub planen.

Nur stellt sich mir hier nach wie vor die Frage ob die 3 Wochen wenn es denn 3 sind nicht irgendwo ein PC zu finden ist. Ok vielleicht sind ja nicht alle so irre wie ich das sie auch im Urlaub ihr Joomla mal zärtlich berühren müßten.

Ich habe den ganzen Tag mit unterschiedlichen Rechnern, Programmen und ihren lieben Nutzern zu tun, nach Feierabend dann noch etwas Hobby - Homepage fürn Verein und mein Bastel-Linuxserver (nur im Heimnetz) - da genieße ich jeden Urlaub in der Ferne völlig ohne Rechner. Ich hab dabei nicht mal Entzugserscheinungen.