Thema: Diskussion zur Joomla! Sicherheits Checkliste

Bezüglich eines Entwicklungsservers, ich fände ja ein VMware Image nicht schlecht... eine LinuxVersion... die schon alles notwendige mit sich bringt... man die nur noch hochfahren braucht und gut ist...

Das hätte den Vorteil, das man so eine testumgebung mal eben schnell von einem PC auf den anderen verschieben kann, oder anderen Leuten die an dem Projekt arbeiten auch zur verfügung stellen kann...

Das mit dem Linux Server (100-200MB) währe in wehnigen Minuten eingerichtet. Nur wie bekommt man das dann unter dem VMWare Player zum laufen?

Ich finde leider den Artikel nicht mehr, aber mit dem Kostenlosen VMWare Server sollte sich so ein Image erstellen lassen, das man dann in den VMWare Player einbauen kann.

Vielleicht finden sich ja einige Leute die interesse drann haben das mit mir zu bauen ;-)

Schönes Teil, auch auf Deutsch. Lieben Dank für die Mühen.

• Engagieren Sie einen Joomla! Profi, der sich mit Sicherheitsfragen auskennt, um Ihre Seitenkonfiguration überprüfen zu lassen.

Liest sich wie der Beipackzettel eines Medikamentes.
Mittelständler sucht Webpräsenz und Joomla-Profi. Sorry, da muss ich schmunzeln. Den "zertifizierten" Joomla-Profi gibt es nicht und ein Großteil "möchte" gerne einer sein. Der Rest ist schweigen und Geld rauswerfen.
Nicht aber auch gar nicht praktikabel und ein klitzeklein wenig an der Realität vorbei.
So etwas muss meines Erachtens direkt von spezialisierten Webhostern kommen, die aber auch keine Gewähr bieten wollen und dann eben sagen: "Die Sicherheitslücke ist neu". Alles schon mal da gewesen

• Gehen Sie nicht auf einen Shared Server. Einige Experten sind sich diesbezüglich uneins.

Wenn ich mir mal grob das Verhältnis von Shared-Servern zu dezidierten Servern in der bundesrepublikanischen Wirklichkeit anschaue, wird dieser wohlgemeinte Ratschlag auch eher keine Anwendung finden.
"Sehn se, hätten Sie mal einen dezidierten Server genommen", ist dann allerdings auch kein gutes Argument.

Und wenn ich mir mal die unzähligen Hobbyisten anschaue, die auch durch ihre zahlreichen Rückmeldungen viel zur Weiterentwicklung von Joomla beitragen und darüber hinaus auch noch massiv das Web mit Inhalten bereichern, denke ich mal, dass die Forderung ein wenig mehr in Richtung Joomla bezüglich Sicherheit gehen sollte.

Alles in allem eine wirklich gute Zusammenfassung, exzellente Übersetzung mit naturgemäß der Maximalforderung an Sicherheit, die im praktischen Gebrauch nur sehr schwer umzusetzen ist.

Alles Liebe
Andi

Moin Moin !

Zitat von rabe

Es heißt ja z.B. sinngemäß: "gehen Sie auf keinen Fall auf einen Shared Server, wenn Sie unter einer übertriebenen Angst leiden, gehackt zu werden".
Leider ist es aber in der Realität ja gelegentlich so, dass sich Mittelständler oft lieber vor drei Euro mehr oder weniger leiten lässt statt sich vorab wenigstens beraten zu lassen.

Vielleicht sollte man die Zielgruppe für dieses Paper definieren:
Zielt dieses Paper auf die Menge von Usern ab, die Joomla als CMS benutzen und sich Webdesigner schimpfen, obwohl sie noch sehr wenig Ahnung von der Materie haben? Webentwickler mit einer gewissen Erfahrung benötigen solch ein Paper ja "eigentlich" nicht. Oder doch auf die Masse, die Joomla für Ihre Hobby-Websites einsetzen?

Letztere werden nie auf die Idee kommen mehr als 10 Euro pro Monat für Webspace auszugeben, selbst wenn man im Backend mit rot blinkender Dialogbox drauf hinweist. Das schreckt diese eher ab und wandern zu anderen Portal-Systemen ab. Und in dem Preissegment werden sie erstens kaum die Chance haben, sicherheitsrelevante Konfigurationen zu ändern und müssen hoffen, dass sie einen Hoster haben, der seinen Server auf den Betrieb von CMSsen abgestimmt hat. Zweitens wird der Großteil schon gar keine Lust haben, sich mit den Hintergründen der Thematik auseinanderzusetzen. Abends und am Wochenende ist halt auch nicht so viel Zeit und Familie und Hobbies wollen ja auch noch Platz haben.
Für diese Zielgruppe wird das Paper also ein Buch mit sieben Siegeln bleiben bzw. müßte man aufbauend auf dieser Thematik ein ganzes Buch verfassen, mit Schritt-Anleitungen, wie man Joomla ein bißchen sicherer bekommt.

Nehmen wir auch mal so Hinweise wie

Entfernen Sie alle Joomla! Erweiterungen, die register_globals ON erfordern

Woher soll denn der unbedarfte Anwender wissen, welche Komponenten, Mambots und Module dies sind? Im Quelltext nachschauen?
Man sollte extensions.joomla.org diesbezüglich erweitern.

Auch sind sehr viele Punkte sehr allgemein gehalten bzw. unsinnig. Ich möchte jetzt nicht Deine Arbeit runtermachen, sondern durch diese harte Umschreibung anregen, den Text zu überarbeiten. Zum Beispiel

Laden Sie Ihre Erweiterungen nur von vertrauenswürdigen Seiten herunter. Die offizielle Definition für vertrauenswürdig ist dabei: Seiten, denen Sie selbst vertrauen

Was soll man mit der Info anfangen? Ich kenne keinen unbedarften User, der ActiveScripting in seinem Browser reglementiert oder mit einem Sicherheitsmodell arbeitet. Was blinkt wird angeklickt.

Um wirkliche Sicherheit zu bieten, müßte man eigentlich von der anderen Seite her den User bevormunden: wenn z.B. Register Globals aktiv ist, dann wird die Installation mit einer entsprechenden Fehlermeldung und Link zum Weiterinformieren abgebrochen!
Ob man dem User mehr Hintergrundwissen abverlangt oder über den Mund fährt: das Dilemma ist vorprogrammiert, da Joomla komplexer werden muss, um sicherer zu werden. Und damit werden dann viele potenzielle User abgeschreckt.

Aber der Text ist schonmal ein guter Ansatz.

CU
Stephan

Hallo "rabe",

nach wie vor grandiose Arbeit und zum Thema Zielgruppe sollte man sich vielleicht einmal mit den "Urtexten" hier beschäftigen.
Auch gedacht an all jene, die ständig an der Welt vorbeireden und Expertenwissen voraussetzen.

Ich zitiere hier dann mal:

Joomla! ist ein sogenanntes Content Management System (CMS) , mit dem sich auf einfache Art und Weise die Inhalte einer Website gestalten lassen. Es eignet sich ausgezeichnet für kleinere und mittlere Auftritte, aber auch große Portale sind mit diesem System bereits realisiert worden. Joomla! ist sehr einfach zu bedienen und sorgt damit für schnellen Erfolg beim Anwender. Ein weiteres Merkmal ist seine Flexibilität. Mit Hilfe einer Fülle von Erweiterungen lassen sich viele zusätzliche Funktionalitäten in Joomla! integrieren.

Und dann noch dieses hier:

Was Joomla! vom Rest abhebt, ist die Hingabe des Entwickler Teams, möglichst viele Funktionalitäten mit einer sehr einfachen Bedienung zu vereinen. So können auch technisch nicht versierte Nutzer damit ihren Webauftritt gestalten. Dank Joomla! ist dafür keine geschlossene, proprietäre und oftmals sehr teure CMS-Software erforderlich.

Zielgruppe: "technisch nicht versierte Nutzer", die "ihren Webauftritt gestalten" wollen.

Dies ist der Anspruch, zu finden auf : http://www.joomla.de/allgemein/was_ist_joomla/

Ich habe nur zitiert!

Andi

Zitat von rabe

Inzwischen wird aber immer mehr klar, dass es wichtig ist, auf hiesige Verhältnisse einzugehen und vor allem das zu tun, was der Originaltext eben nicht tut:

Hintergrundinfos, was das eigentlich alles bedeutet,

ACK, aber da sehe ich auch das Manko, das man auch jeden Tag hier im Forum beobachten kann: Es wird sich keiner mit den Infos auseinandersetzen, der mit Joomla nur mal so eine Seite für seine kleine Firma oder Verein umsetzen möchte. Und das ist der Großteil der Joomla-User.
Und es wird aufgrund der Vielzahl an Serverkonfigurationen nur sehr schwer möglich sein, eine Doku zu schreiben, die den unbedarften User an die Hand nimmt und ihm aufzeigt, wie er auf seinem System/Webspace genau die richtigen Einstellungen machen kann. Mal davon ganz abgesehen, ob er überhaupt seitens seines Hosters dazu in der Lage sein wird.

Zitat von rabe

vielleicht eine Hilfestellung, wie man überhaupt den für sich richtigen Provider findet (für sich oder seine Kunden) und einfach sensibilisieren. Es wird ja nun leider immer mehr klar, dass dieses "kleine, übersichtliche Joomla!" dann doch nicht weniger gefährdet ist, nur weil es klein und übersichtlich ist.

Senisibilisieren gut und schön aber wie? Selbst ein netter roter Kasten, der dauernd im Backend angezeigt wird, wird noch eine Vielzahl von Usern nicht sensibilisieren. Wieso auch, die Website wird ja angezeigt und funktioniert.
Selbst in solchen Dingen geschulte Mitarbeiter größerer Firmen kommen zu Hause nicht auf die Idee, ihre privaten E-Mails zum Beispiel per SSL vom Server abzuholen und ihre Daten zu verschlüsseln. Wieso auch? Es sind ja nur private Daten und wen sollen die schon interessieren. Genauso wird es mit Websites gemacht. Es ist leicht geworden, eine eigene Website zu haben und die Funktionsvielfalt ist überwältigend. Wie oft findet man auf Hobby-Seiten Module für das Wetter in Bielefeld, eBay-Auktionen und was weiß ich noch alles. Das Paper fordert dazu auf, dass der Anwender doch bitte nachschauen soll, ob die eingesetzten Module auch sicher sind. Dazu sind grob geschätzt unter 1% der Anwender in der Lage.
Eine Zertifizierung von 3rd-Party-Software muss für Joomla geschaffen werden, um genau diesen Prozess den Anwendern nicht aufzulasten.

Zitat von rabe

Du schreibst ja auch ganz richtig, es muss komplexer werden.
D.h. aber auch die User müssen wissen, was sie in der Hand halten, wenn sie ich einen wie auch immer gearteten Server oder ein CMS zulegen.
Die Zielgruppe? Ich denke z.B., es gibt einige Webdesigner, die sich eben irgendwann aus Interesse oder Bedarf an ein CMS wagen ( in diesem Fall ist Joomla! ja geradezu prädestiniert...).

Dafür muss aber auch der Willen da sein, sich mit der Materie zu beschäftigen und zu lernen. Und die ist nunmal selten gegeben. Installieren und loslegen heißt die Devise. Ich will auch nur Auto fahren und nicht bis ins kleinste Detail wissen wie die Computersteuerung meines Autos die Kraftstoffzufuhr regelt. Und genau dieses Verhalten (ist ja eigentlich nichts verwerfliches dran) kann man auf den größten Teil der Joomla-Anwender abbilden.

Das Thema Sicherheit sollte also vermehrt von Joomla selber in die Hand genommen. Ansonsten müßte man bald roemerlis zitierte Beschreibungen ändern.

CU
Stephan