+ Antworten
Ergebnis 1 bis 8 von 8

Thema: Safer ***tensions by Register_Globals=Off

  1. 14.07.2006 10:58 #1
    mero
    mero ist offline
    Neu an Board Avatar von mero
    Registriert seit
    27.04.2004
    Beiträge
    4
    Bedankte sich
    3
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard Safer ***tensions by Register_Globals=Off

    Hallo Ihr Joomla-ExpertInnen,

    immer wieder wird hier darauf hingewiesen, dass es riskant ist, auf dem Server Register_Globals=On zuzulassen.
    ich frage mich (als J-Laie) angesichts der in letzter Zeit gehäuft auftretenden Sicherheitswarnungen bei Komponenten,
    welche Erweiterungen von Joomla überhaupt eine Einstellung von Register_Globals=on benötigen.
    Die würde ich von vorne herein aussperren wollen, um meine Site zu härten gegen künftig auftauchende Lücken.
    Gibt es eine solche Blacklist irgendwo, zumindest in Ansätzen ?

    Wenn nicht, rege ich an, zumindest einen Thread im Sicherheitsforum o.ä. zu schaffen (vgl. http://www.noadmin.de), der in kompakter Weise zusammenfasst, welche Komponenten die ON-Einstellung brauchen und was dagegen zu machen ist.

    Das Thema Qualitätssicherung bei Joomla-Comtributions ist immer wieder Thema gewesen. IMHO bietet sich hier die Chance, mit vergleichsweise einfachen Mitteln einen großen Schritt voran zu kommen (gerade, weil es primär den J-Laien nutzt, die wie überall des Sicherheitspudels Kern darstellen ).

    Gruß von
    Mero
    Zitieren Zitieren
  2. 14.07.2006 11:02 #2
    cybergurk
    cybergurk ist offline
    Moderator Avatar von cybergurk
    Registriert seit
    06.07.2005
    Ort
    unwichtig
    Beiträge
    8.732
    Bedankte sich
    190
    Erhielt 2.685 Danksagungen
    in 2.066 Beiträgen

    Standard

    Zitat Zitat von mero
    Hallo Ihr Joomla-ExpertInnen,
    Moin,

    was ist mit uns Männern? Spass beiseite,, schau hier und folge dem Ratschlag, gilt für alle..
    http://www.joomlaportal.de/sicherhei...nd-module.html
    Gruß Achim
    Behandle deine Mitmenschen genau so, wie du gerne behandelt werden möchtest.
    www.cybergurke.de | www.filmanleitungen.de | www.joomla-tutorials.de | www.easy-joomla.org
    Zitieren Zitieren

  3. Erhielt Danksagungen von:

    mero
  4. 14.07.2006 11:03 #3
    Zorro
    Zorro ist offline
    Modeberater Avatar von Zorro
    Registriert seit
    30.10.2003
    Ort
    Hessen
    Beiträge
    2.995
    Bedankte sich
    50
    Erhielt 409 Danksagungen
    in 325 Beiträgen

    Standard

    Hallo Mero,

    eine solche Blacklist ist mir nicht bekannt. Sie wäre auch sehr aufwendig zu pflegen, da man ständig den Entwicklern hinterherlaufen und eventuelle neue Versionen der Komponenten prüfen müßte.

    KO-Kriterium 1: Du hast eine Extension heruntergeladen, und im Readme steht, daß register_globals auf ON stehen muß ==> Tonne.

    KO-Kriterium 2: Du hast auf Deinem Testsystem (das logischerweise register_globals OFF hat) eine Extension installiert, und sie läuft nicht ==> Tonne.

    Viele Grüße,
    Zorro

    Klartext. Das Blog über CMS, Intranets, Social Media, Web 2.0 und Web 3.0. - Troubleshooting Joomla - Das intelligente Reiseportal
    Rockmusik en masse - Qualitäts-Hotels - Katzen-Content ;-)

    Zitieren Zitieren

  5. Erhielt Danksagungen von:

    cybergurk
  6. 14.07.2006 13:10 #4
    mero
    mero ist offline
    Neu an Board Avatar von mero
    Registriert seit
    27.04.2004
    Beiträge
    4
    Bedankte sich
    3
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Standard

    Zitat Zitat von cybergurk
    was ist mit uns Männern?
    Ey, danke Euch 2 Männers, für die schnellen Hinweise. Und was den Platzbedarf von german_genderneutral.php angeht: Der kleine UnterschIed fällt kaum auf

    Zitat Zitat von Zorro
    eine solche Blacklist ... wäre auch sehr aufwendig zu pflegen, da man ständig den Entwicklern hinterherlaufen und eventuelle neue Versionen der Komponenten prüfen müßte.
    Ja klar, wir hatten beim Mamboday schon mal darüber debattiert. Ich hab nicht an so ne aufwändige "Stiftung Joomlatest" gedacht.
    Zitat Zitat von Zorro
    KO-Kriterium 1: Du hast eine Extension heruntergeladen, und im Readme steht, daß register_globals auf ON stehen muß ==> Tonne
    Meine Überlegung ist, dass Du eine derart eindeutige ==>Tonne Entscheidung bei ner Sammelstelle postest (falls dort noch keine steht). Mehr Aufwand muss nicht sein.
    Wenn ein Entwickler unbedingt vom Pranger losgebunden werden will, muss er sich selbst rühren. Oder halt nicht. Es steht ja auch jedem User frei, die Prangerliste nicht zu beachten oder neue Erkenntnisse zu posten.
    Wenn es gut läuft, entwickelt sich eine Art anders sortierter BugTracker, der zu einem kritischen Bug alle Extensions listet, die davon betroffen sind bzw. waren..

    Naja, vielleicht überschätze ich die Community da...


    Zitat Zitat von Zorro
    KO-Kriterium 2: Du hast auf Deinem Testsystem (das logischerweise register_globals OFF hat) eine Extension installiert, und sie läuft nicht ==> Tonne.
    Genau da knackt´s dann beim J-Laien, denn es gibt noch ein paar andere Gründe, warum was nicht läuft. Ich finde es völllig in Ordnung und zumutbar, wenn diejenigen "My Joomlatest" durchspielen, die das fachlich auch können.
    Doch Joomla ist ja grad als Newbie-freundlich positioniert und inzwischen wegen der Verbreitung auch securitymäßig besonders exponiert. Dass ein hoher Laien-Anteil (ich möchte den Gebrauch von DAU hier vermeiden) nervt, ist mir schon klar.
    Darum
    Kriterium 0: Extension stand schonmal in der RGon-Liste
    Dann kann jeder entscheiden, ob das ein KO-Kriterium ist oder nur ein Grund, sich tiefer reinzufuchsen und (ggfls. eine PHP-Zeile reinzuflicken o.ä.)


    Also, nochmal Danke an Euch , mir persönlich ist mit Euren Tipps geholfen, ich werde fleißig englische Security-Notes lesen

    Mero
    Geändert von mero (14.07.2006 um 13:47 Uhr)
    Zitieren Zitieren
  7. 14.07.2006 13:22 #5
    headcrash
    Gast

    Standard

    Zitat Zitat von mero
    Doch Joomla ist ja grad als Newbie-freundlich positioniert und inzwischen wegen der Verbreitung auch securitymäßig besonders exponiert. Dass ein hoher Laien-Anteil (ich möchte den Gebrauch von DAU hier vermeiden) nervt, ist mir schon klar.
    Und das ist halt ein weitverbreiteter Irrglaube (ähnliches Prinzip wie Windows bei den OS). Das System ist komplex, auch wenn es etwas anderes vorgaukelt wird und das Netz ist böse. Nichts desto trotz wäre eine Institution, die mit der Mambofoundation geplant war (leider katastrophal in der Umsetzung) hilfreich, die eine Zertifizierung von Komponenten etc. realisiert. Aber wer eine Seite ins Netz stellt, ist dafür verantwortlich und muss sich informieren, ansonsten hat er die Schmerzen verdient.
    Zitieren Zitieren

  8. Erhielt Danksagungen von:

    mero
  9. 14.07.2006 15:23 #6
    mero
    mero ist offline
    Neu an Board Avatar von mero
    Registriert seit
    27.04.2004
    Beiträge
    4
    Bedankte sich
    3
    Erhielt 0 Danksagungen
    in 0 Beiträgen

    Idee OT: Sicherheits-Grundausbildung für J-Webmaster

    Zitat Zitat von headcrash
    ein weitverbreiteter Irrglaube (ähnliches Prinzip wie Windows bei den OS)... wer eine Seite ins Netz stellt, ist dafür verantwortlich und muss sich informieren, ansonsten hat er die Schmerzen verdient.
    Sehe ich ganz genau so.
    Leider schmerzt es oft erst zu spät. Vorher bleibt nur die Frage:
    Was ist die mindestens notwendige Bildung, um wenigstens nicht in jedes Loch zu treten. Du brauchst keinen MCSE zu machen, um die wichtigsten Windowsrisiken gefixt zu kriegen. Mit den wesentlichen 20% Engagement kannst Du 80% der Sicherheits-Probleme lösen. Oft ist es aber ohne Expertenhilfe schwer rausfinden, welche 20% reichen.

    Ich habe mich übrigens nicht für Mambo entschieden, weils angeblich so einfach ist , sondern weil es schon früh eine breite und engagierte Community gab, die mir helfen kann, diese 20% Knowhow zu erwerben.

    Ich glaube, dass Joomla inzwischen ganz zu recht als Einsteiger-freundlich gilt. Es gibt da nur Missverständnisse in Bezug auf Voraussetzungen und Engagement, was Einsteiger mindestens mitbringen bzw. erwerben müssen. Ich gestehe hier, dass ich mich zwar gleich am Anfang mit "restriktivem chmod auf shared Webspace", "SafeMode" und "mod_rewrite" beschäftigt und einen Passwortschutz für ./administrator gebaut habe, dass aber die Gefahren globaler PHP-Variablen bisher nicht zum 20% Knowhow-Paket gehörten. Aber Dank Euch gibt es immer mehr leicht recherchierbare FAQs und HowTos. Joomla wird auch deshalb immer besser.

    Zitat Zitat von headcrash
    Nichts desto trotz wäre eine Institution ... hilfreich, die eine Zertifizierung von Komponenten etc. realisiert.
    Wenn es keine zentrale Institution geben kann (von der man dann irgenwie abhängig wäre), könnte man wenigstens versuchen, einen 80%igen Nutzeffekt einer Zertifizierung mit einem kollektiven 20% Engagement zu schaffen.
    Um ein paar eigentlich selbstverständliche DesignRules bei den Entwicklern zu pushen,
    mit dem Nebeneffekt einer erleichterten Einstiegsphase für Newbies,

    Ist vielleicht etwas naiv... aber so funktionieren diese verbreiteten Irrglauben halt, in dem Fall mein Glaube an die Macht frei selbstorganisierter Communities.


    Schönes Wochenende
    Mero
    Zitieren Zitieren
  10. 14.07.2006 16:54 #7
    DietmarH
    DietmarH ist offline
    Wohnt hier Avatar von DietmarH
    Registriert seit
    07.01.2006
    Ort
    Essen
    Beiträge
    4.697
    Bedankte sich
    66
    Erhielt 1.041 Danksagungen
    in 923 Beiträgen

    Standard

    Zitat Zitat von headcrash
    Nichts desto trotz wäre eine Institution, die mit der Mambofoundation geplant war (leider katastrophal in der Umsetzung) hilfreich, die eine Zertifizierung von Komponenten etc. realisiert.
    Halte ich für unrealistisch. Das Suchen, Nutzen und Stopfen von Sicherheitslücken ist ein Hase-Igel-Spiel. Eine dauerhafte Aussage, daß ein Script sicher ist, ist gar nicht möglich. Deshalb sollte man vermeiden, den EIndruck zu erwecken, eine einmal zertifizierte Komponente sei "sicher". Wenn, dann muß man ganz vorsichtig formulieren, daß die Komponente am Tag X keine bekannte Sicherheitslücke aufwies. Sobald auch nur die kleinste Chance besteht, in "zumindest nicht bekannt unsicher" "sicher" hineinzuinterpretieren, schläft Otto Normaldau wieder für die nächsten zwei Jahre den Schlaf des Gerechten und interessiert sich weder für Sicherheitswarnungen noch für Updates.

    Besser ist es, wenn im Hinterkopf jedes Script potentiell unsicher bleibt und einige Ausnahmen erwiesenermaßen unsicher sind. Erweist sich ein Script eine Woche nach seiner Zertifizierung als unsicher, haben weder der Programmierer noch der Hacker den schwarzen Peter, sondern der, der am wenigsten dafür kann: Der Zertifizierer.
    Dietmar
    http://www.joomla-supportchat.de | http://joompjirc.joomla-supportchat.de
    http://wiki.joomla-nafu.de | http://www.joomla-geruechte.de
    Zitieren Zitieren
  11. 14.07.2006 17:07 #8
    headcrash
    Gast

    Standard

    http://typo3.org/extensions/repository/reviewed/ sowas in der Richtung ist definitiv hilfreich, natürlich gibts keine Garantie (wird auch ausdrücklich ausgeschlossen).
    Zitieren Zitieren
+ Antworten
« Vorheriges Thema | Nächstes Thema »

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein

Foren-Regeln