Thema: Diskussion zur Joomla! Sicherheits Checkliste

Weiter oben ging es um die Ansprache und das finden eines Ansprechkreises, eben der Zielgruppe.
Daraufhin habe ich "zitiert", um eine mögliche Zielgruppe für künftige Sicherheitsanleitungen zu bekommen.

Deine Ansicht, mag ja stimmen, hat aber in diesem Zusammenhang eher keine Relevanz. Da diese "eine Gruppe" eben auch mit Joomla zurecht kommen soll, ist hier vielleicht auch die Zielgruppe für eine solche Dokumentation zu finden. Eben der kleinste, gemeinsame Nenner.

Viele Grüße
Andi, der jetzt mal nicht weiter Haare spaltet.

Liebe Anne,

da hast Du ein wahres Wort gesprochen.

Ein Posting weiter oben wurde beispielsweise die Sache mit den Verzeichnisrechten angesprochen und meines Erachtens liegt hier der Ansatz.

1. Joomla wird installiert (was ziemlich einfach ist)
2. Deine Zusammenfassung an wichtigen Einstellungen kann beispielsweise auch ich oder jemand anderes in eine "Schritt für Schritt"-Anleitung erweitern. Ist so schwer nicht und wir gehen bei dieser Anleitung von der "Grundinstallation" ohne Erweiterungen aus.
3. Die paar Ordner kann ich oder jemand anderes auch mit dem jeweiligen optimalen CHMOD-Wert benennen. Alle Dateien -bis auf die wenigen Ausnahmen- auf beispielsweise 444 und fertig soweit. Erspart Dutzende von Postings.
Kann man auch mit ein paar Zeilen klar machen.
4. Warnung vor Drittkomponenten und Linkverzeichnis auf Spezialthreats a la "php.ini".

Damit hätte man in ein paar Stunden (ich würde mich jederzeit daran beteiligen und bin sehr geübt im Schreiben von Anleitungen) eine Installationsanleitung mit Sicherheitseinstellungen, die Schritt für Schritt eine hinreichend "sichere" Grundinstallation erklärt.

Ich halte es daher auch für die Verantwortung der Provider, hier tätig zu werden, mehr zu informieren- im Sinne des Verbraucherschutzes.

Da gebe ich Dir vollkommen Recht, nur gibt es hier ein Problem: Kommerz.
Alle Hinweise in diese Richtung an die Provider sind vergebens, so lange die vermeintliche "Einfachheit" des Webspaces das Werbeargument Nummer "1" ist.
Dem Nutzer solcher Angebote ist da wahrlich kein Vorwurf zu machen. Die nutzen, vollkommen zu Recht, nur das, was der Markt anbietet.

Deine tolle Zusammenstellung mit einer Schritt-für-Schritt-Anleitung wäre eine feine Sache, die dann - meine Meinung - sofort ins Englische übersetzt gehört
In den englischsprachigen Foren geht es teilweise auch um solche "existenziellen" Fragen.

Liebe Grüße

Andi

Zitat von rabe

Zu Sicherheitsfragen:
Das Problem liegt doch auch auf anderer Seite
ich hab mal so getan, als würde ich völlig unbedarft einen Webspace suchen, auf dem ich ein Joomla! installieren möchte und ich hätte diese ganze Diskussion mitbekommen.
Es ist schlicht nicht möglich, auf die Schnelle bei den großen oder auch kleinen Providern herauszubekommen, wie die Standardeinstellungen für die einzelnen Pakete sind und welche Möglichkeiten man im Einzelnen hat, daran etwas zu ändern.
Mehr wird der normale User aber nicht tun, ... d.h. er wird sich nicht eine halbe Stunde durch eine Website quälen auf der Suche nach etwas, von dem er nur vage Ahnung hat.

Das Problem ist eher, dass das "Internet" für jeden einfach zu erreichen ist. Pakete wie Joomla lassen sich zu "einfach" installieren.
Oder würdest Du ohne jegliche Ahnung Dein Auto reparieren/tunen? Nein, Du würdest es zu jemanden bringen, der sich damit auskennt. Und hierbei argumentiere ich genauso arrogant: Leute, die sich mit der Thematik nicht auskennen, sollen doch lieber jemanden fragen.

Zitat von rabe

Ein weiteres Problem sehe ich darin, dass es den "Server" an jeder Straßenecke gibt. Für richtig billig. Und das ist die Gefahr, denn viele Leute wissen nicht, was sie da gerade erstanden haben und die Gefahr des "einfach mal konfigurieren, bis es läuft" ist groß.

Sehe ich ähnlich: alle großen Hoster bieten Resellerpakete, bei denen dann der kleine Schüler oder der Fußballwart meinen, Hoster spielen zu können. Es wird ihnen auch hier zu einfach gemacht. Dazu kommt dann noch diese unsägliche "Geiz-ist-geil"- und die "was-die-Werbung-verspricht-wird-schon-stimmen"-Mentalität hinzu.

Zitat von rabe

Ich halte es daher auch für die Verantwortung der Provider, hier tätig zu werden, mehr zu informieren- im Sinne des Verbraucherschutzes. Es geht ja nicht nur ums Joomla!, es gibt allgemeine Probleme, die immer ein Sicherheitsproblem darstellen.

Werden sie nicht, denn hier geht es um Geld.
Wenn es funktionieren soll, dann geht es nur so rum:
Joomla verweigert auf ungenügend konfiguriertem Webspace die Installation und bietet gleichzeitig Tutorials und Manuals zur Behebung des Problems. Aber das möchte bestimmt das Joomla-Team nicht, denn das würde heißen, dass keiner mehr Joomla einsetzen würde.

Zitat von rabe

(Wir reden ja hier nicht davon, in einer Gebrauchsanweisung darauf hinzuweisen, keine Katzen im Wäschetrockner zu trocknen)

Doch, im Endeffekt schon. Denn es geht hierbei um genau diese Zielgruppe: Keine Ahnung, was ein Wäschetrockner ist, aber einen besitzen wollen.

Zitat von rabe

Ich weiß nicht, wie man die Inhalte dieser checklist transparenter machen könnte, übersichtlicher, verständlicher!?

Es müßte eigentlich ein komplettes Manual daraus entstehen, das den Hilfesuchenden an die Hand nimmt. Ich schätze aber mal, dass das den Rahmen sprengen würde. Denn man müßte ja für jede mögliche Konfiguration der Webserver (Apache, IIS, PHP als Modul, PHP als CGI; nur um einige zu nennen, es gibt noch tausend andere) die notwendigen Schritte erklären und vorher eine Erkennung, welcher Schritt der richtige wäre.
Besser wäre aber eine Integration der Problematik in den Installationsvorgang von Joomla. Denn das angestrebte Manual müßte ja auch erst gelesen werden. Und wenn Joomla einmal installiert ist und funktioniert, dann interessiert es den herkömmlichen "DAU" nicht. Install and forget.

CU
Stephan

hiho @ll,

Zitat von KaffDaddy

[...]
Oder würdest Du ohne jegliche Ahnung Dein Auto reparieren/tunen? Nein, Du würdest es zu jemanden bringen, der sich damit auskennt. Und hierbei argumentiere ich genauso arrogant: Leute, die sich mit der Thematik nicht auskennen, sollen doch lieber jemanden fragen.

grundsätzlich hast du recht ... aber, ich würde mir zutrauen mein Fahrad zu reparieren .. nehmen wir mal an das Bremskabel ist gerissen, nun gehe ich in den Laden und kaufe mir ein neues ... eines kostet 5x soviel wie ein anderes ... ok, ich nehme das teure (und vielleicht) bessere, repariere das Rad und alles ok!

Aber vielleicht nehme ich doch das günstige und fliege nach 3 km aus der Kurve weil ich nicht mehr bremsen kann - vielleicht hätte mir die Info geholfen: "du kannst da günstige Kabel nehmen muss aber beachten, dass man da X und Y noch machen muss"

auf Joomla bezogen: günstig (super), leicht zu bedienen (super), schnelle Installation (super) ==> nach drei Wochen fliege ich aus der Kurve weil ich nicht X und Y gemacht habe ... dieses X und Y wäre vielleicht ganz einfach gewesen, wenn ich gewusst hätte, dass ich das brauche oder machen muss ...

Darauf wollte ich hinaus: der Otto-Normal-User kann sich nicht tief in Sicherheitsaspekte einarbeiten .. ist vielleicht auch gar nicht notwendig, denn seine private Joomla-Page ist eh mehr Spaß als sonstwas. Aber mit rudimentären Sicherheitsvorkehrungen würde er vielleicht heute noch rund um Rund auf dem Rad drehen


@rabe: ja, sicherlich wird man den einen oder anderen Server nicht wirklich sicher bekommen. Aber vielen privaten Usern langen ja einfache Basics.

Deine Aufstellung ist sicherlich unerläßlich für den kommerziellen Joomla-User, für jemanden der auf die notwendige Sicherheit angewiesen ist. Vielleicht komme ich ja in ein paar Wochen zurück und lesen den Beitrag erneut, verstehe ihn dann besser und wende das gelernte an.

Zitat von roemerli

Damit hätte man in ein paar Stunden (ich würde mich jederzeit daran beteiligen und bin sehr geübt im Schreiben von Anleitungen) eine Installationsanleitung mit Sicherheitseinstellungen, die Schritt für Schritt eine hinreichend "sichere" Grundinstallation erklärt.

JA JA JA !!! ... dann lade ich dich auch zu einem Kaffee ein, wenn ich dich zufällig am Römer sehe

Viele Grüße

jovi