rabe

Hallo,

wie bereits in der Übersetzung der Sicherheits Checkliste (siehe http://www.joomlaportal.de/sicherhei...heckliste.html) angekündigt, eröffne ich nun auch gleich ein Diskussions Topic, das sich ähnlich dem Topic im offiziellen Forum auf Joomla.org mit der Diskussion rund um die angesprochenen und natürlich auch weitere Sicherheitsfragen beschäftigen soll.
So hoffen wir, dieses wichtige Thema immer auf dem neuesten Stand halten zu können.

Viele Grüße
Anne

Spider

Hi,

sehr sehr cool, Respekt.

2 Anmerkungen hätte ich:

Entwicklungsserver
[..]
• Hier können Sie XAMPP XAMPP herunterladen

^^ hast denn Link vergessen

Es sollte ausserdem in diesem Punkt mit erwähnt werden das, wenn man sich schon eine Entwicklungsserver aussetzt, man darauf achten sollte dass die Konfiguration des Live- und des Entwicklungsservers nahezu identisch ist.
Denn sonst mach so eine lokale Testumgebung nicht wirklich viel Sinn
Man sollte sich ein Script auf seinem Live-Server anlegen mit folgendem Inhalt:
Diese ruft man dann im Browser auf und arbeitet die Einstellungen manuell mit der lokalen php.ini ab.
Eine Anfrage an den Hoster, ab der einem denn mal die auf dem Live-Server verwendete php.ini zuschicken könne, wird in den meisten Fällen wohl verneint werden

Cu

Biomehaniker

Bezüglich eines Entwicklungsservers, ich fände ja ein VMware Image nicht schlecht... eine LinuxVersion... die schon alles notwendige mit sich bringt... man die nur noch hochfahren braucht und gut ist...

Das hätte den Vorteil, das man so eine testumgebung mal eben schnell von einem PC auf den anderen verschieben kann, oder anderen Leuten die an dem Projekt arbeiten auch zur verfügung stellen kann...

Das mit dem Linux Server (100-200MB) währe in wehnigen Minuten eingerichtet. Nur wie bekommt man das dann unter dem VMWare Player zum laufen?

Ich finde leider den Artikel nicht mehr, aber mit dem Kostenlosen VMWare Server sollte sich so ein Image erstellen lassen, das man dann in den VMWare Player einbauen kann.

Vielleicht finden sich ja einige Leute die interesse drann haben das mit mir zu bauen ;-)

__________________
Erst wenn der letzte Programmierer eingesperrt und die letzte Idee patentiert ist, werdet ihr merken, dass Anwälte nicht programmieren können.

roemerli

Schönes Teil, auch auf Deutsch. Lieben Dank für die Mühen.

Liest sich wie der Beipackzettel eines Medikamentes.
Mittelständler sucht Webpräsenz und Joomla-Profi. Sorry, da muss ich schmunzeln. Den "zertifizierten" Joomla-Profi gibt es nicht und ein Großteil "möchte" gerne einer sein. Der Rest ist schweigen und Geld rauswerfen.
Nicht aber auch gar nicht praktikabel und ein klitzeklein wenig an der Realität vorbei.
So etwas muss meines Erachtens direkt von spezialisierten Webhostern kommen, die aber auch keine Gewähr bieten wollen und dann eben sagen: "Die Sicherheitslücke ist neu". Alles schon mal da gewesen

Wenn ich mir mal grob das Verhältnis von Shared-Servern zu dezidierten Servern in der bundesrepublikanischen Wirklichkeit anschaue, wird dieser wohlgemeinte Ratschlag auch eher keine Anwendung finden.
"Sehn se, hätten Sie mal einen dezidierten Server genommen", ist dann allerdings auch kein gutes Argument.

Und wenn ich mir mal die unzähligen Hobbyisten anschaue, die auch durch ihre zahlreichen Rückmeldungen viel zur Weiterentwicklung von Joomla beitragen und darüber hinaus auch noch massiv das Web mit Inhalten bereichern, denke ich mal, dass die Forderung ein wenig mehr in Richtung Joomla bezüglich Sicherheit gehen sollte.

Alles in allem eine wirklich gute Zusammenfassung, exzellente Übersetzung mit naturgemäß der Maximalforderung an Sicherheit, die im praktischen Gebrauch nur sehr schwer umzusetzen ist.

Alles Liebe
Andi

__________________
"It don't mean a thing, if it ain't got that swing"
Jazz & more: http://roemer.li
Bilder & mehr auf http://www.bilddetail.eu

rabe

Hallo,

als kleine Anmerkung und gemeinsamen Denkanstoß:
vielleicht sollte ich noch besser herausarbeiten, dass es sich beim letzten Teil des Texts um eine eher etwas ironische Darstellung handelt?

Es heißt ja z.B. sinngemäß: "gehen Sie auf keinen Fall auf einen Shared Server, wenn Sie unter einer übertriebenen Angst leiden, gehackt zu werden".
Leider ist es aber in der Realität ja gelegentlich so, dass sich Mittelständler oft lieber vor drei Euro mehr oder weniger leiten lässt statt sich vorab wenigstens beraten zu lassen.

Wer den Artikel im Original gelesen hat, wird auch feststellen können, wie das mit dem Joomla! Sicherheit***perten gemeint ist.
Von der Praktikabilität einiger anderer Vorschläge ganz zu schweigen ;-)

Viele Grüße
Anne

KaffDaddy

Moin Moin !

Vielleicht sollte man die Zielgruppe für dieses Paper definieren:
Zielt dieses Paper auf die Menge von Usern ab, die Joomla als CMS benutzen und sich Webdesigner schimpfen, obwohl sie noch sehr wenig Ahnung von der Materie haben? Webentwickler mit einer gewissen Erfahrung benötigen solch ein Paper ja "eigentlich" nicht. Oder doch auf die Masse, die Joomla für Ihre Hobby-Websites einsetzen?

Letztere werden nie auf die Idee kommen mehr als 10 Euro pro Monat für Webspace auszugeben, selbst wenn man im Backend mit rot blinkender Dialogbox drauf hinweist. Das schreckt diese eher ab und wandern zu anderen Portal-Systemen ab. Und in dem Preissegment werden sie erstens kaum die Chance haben, sicherheitsrelevante Konfigurationen zu ändern und müssen hoffen, dass sie einen Hoster haben, der seinen Server auf den Betrieb von CMSsen abgestimmt hat. Zweitens wird der Großteil schon gar keine Lust haben, sich mit den Hintergründen der Thematik auseinanderzusetzen. Abends und am Wochenende ist halt auch nicht so viel Zeit und Familie und Hobbies wollen ja auch noch Platz haben.
Für diese Zielgruppe wird das Paper also ein Buch mit sieben Siegeln bleiben bzw. müßte man aufbauend auf dieser Thematik ein ganzes Buch verfassen, mit Schritt-Anleitungen, wie man Joomla ein bißchen sicherer bekommt.

Nehmen wir auch mal so Hinweise wie Woher soll denn der unbedarfte Anwender wissen, welche Komponenten, Mambots und Module dies sind? Im Quelltext nachschauen?
Man sollte extensions.joomla.org diesbezüglich erweitern.

Auch sind sehr viele Punkte sehr allgemein gehalten bzw. unsinnig. Ich möchte jetzt nicht Deine Arbeit runtermachen, sondern durch diese harte Umschreibung anregen, den Text zu überarbeiten. Zum Beispiel Was soll man mit der Info anfangen? Ich kenne keinen unbedarften User, der ActiveScripting in seinem Browser reglementiert oder mit einem Sicherheitsmodell arbeitet. Was blinkt wird angeklickt.

Um wirkliche Sicherheit zu bieten, müßte man eigentlich von der anderen Seite her den User bevormunden: wenn z.B. Register Globals aktiv ist, dann wird die Installation mit einer entsprechenden Fehlermeldung und Link zum Weiterinformieren abgebrochen!
Ob man dem User mehr Hintergrundwissen abverlangt oder über den Mund fährt: das Dilemma ist vorprogrammiert, da Joomla komplexer werden muss, um sicherer zu werden. Und damit werden dann viele potenzielle User abgeschreckt.

Aber der Text ist schonmal ein guter Ansatz.

CU
Stephan

__________________
Insomniaonline

Gelöste Threads bitte markieren: Anleitung

rabe

Hallo,

du hast vollkommen recht mit deinen Überlegungen hinsichtlich der Zielgruppe...

Der Grund für die Übersetzung war der Link um Backend und die Idee, dass es doch eine tolle Sache wäre, einfach eine deutsche Variante bereitstellen zu können.
Als ich dann anfing zu übersetzen, hörte es sich wirklich ein bißchen nach Beipackzettel an und da habe ich angefangen, freier zu schreiben. Geht allerdings auch nur bedingt, denn- aber vielleicht klärt sich das ja auch in gemeinsamer Diskussion- meine Idee war, den Artikel ggf. zu aktualisieren, wenn er auf joomla.org aktualisiert wird.

Inzwischen wird aber immer mehr klar, dass es wichtig ist, auf hiesige Verhältnisse einzugehen und vor allem das zu tun, was der Originaltext eben nicht tut:

Hintergrundinfos, was das eigentlich alles bedeutet,
vielleicht eine Hilfestellung, wie man überhaupt den für sich richtigen Provider findet (für sich oder seine Kunden) und einfach sensibilisieren. Es wird ja nun leider immer mehr klar, dass dieses "kleine, übersichtliche Joomla!" dann doch nicht weniger gefährdet ist, nur weil es klein und übersichtlich ist.
Du schreibst ja auch ganz richtig, es muss komplexer werden.
D.h. aber auch die User müssen wissen, was sie in der Hand halten, wenn sie ich einen wie auch immer gearteten Server oder ein CMS zulegen.
Die Zielgruppe? Ich denke z.B., es gibt einige Webdesigner, die sich eben irgendwann aus Interesse oder Bedarf an ein CMS wagen ( in diesem Fall ist Joomla! ja geradezu prädestiniert...).

Passend wäre vielleicht noch eine Linkliste, mit übersichtlichen Zusammenfassungen. Ich glaube ehrlich gesagt nicht, dass sich der normale Joomla! User die mySQL Dokumentation "reinzieht", die Links des Originaltexts sind also eher abschreckend, könnte ich mir vorstellen.

Viele Grüße
Anne

roemerli

Hallo "rabe",

nach wie vor grandiose Arbeit und zum Thema Zielgruppe sollte man sich vielleicht einmal mit den "Urtexten" hier beschäftigen.
Auch gedacht an all jene, die ständig an der Welt vorbeireden und Expertenwissen voraussetzen.

Ich zitiere hier dann mal:
Und dann noch dieses hier:
Zielgruppe: "technisch nicht versierte Nutzer", die "ihren Webauftritt gestalten" wollen.

Dies ist der Anspruch, zu finden auf : http://www.joomla.de/allgemein/was_ist_joomla/

Ich habe nur zitiert!

Andi

__________________
"It don't mean a thing, if it ain't got that swing"
Jazz & more: http://roemer.li
Bilder & mehr auf http://www.bilddetail.eu

KaffDaddy

ACK, aber da sehe ich auch das Manko, das man auch jeden Tag hier im Forum beobachten kann: Es wird sich keiner mit den Infos auseinandersetzen, der mit Joomla nur mal so eine Seite für seine kleine Firma oder Verein umsetzen möchte. Und das ist der Großteil der Joomla-User.
Und es wird aufgrund der Vielzahl an Serverkonfigurationen nur sehr schwer möglich sein, eine Doku zu schreiben, die den unbedarften User an die Hand nimmt und ihm aufzeigt, wie er auf seinem System/Webspace genau die richtigen Einstellungen machen kann. Mal davon ganz abgesehen, ob er überhaupt seitens seines Hosters dazu in der Lage sein wird.

Senisibilisieren gut und schön aber wie? Selbst ein netter roter Kasten, der dauernd im Backend angezeigt wird, wird noch eine Vielzahl von Usern nicht sensibilisieren. Wieso auch, die Website wird ja angezeigt und funktioniert.
Selbst in solchen Dingen geschulte Mitarbeiter größerer Firmen kommen zu Hause nicht auf die Idee, ihre privaten E-Mails zum Beispiel per SSL vom Server abzuholen und ihre Daten zu verschlüsseln. Wieso auch? Es sind ja nur private Daten und wen sollen die schon interessieren. Genauso wird es mit Websites gemacht. Es ist leicht geworden, eine eigene Website zu haben und die Funktionsvielfalt ist überwältigend. Wie oft findet man auf Hobby-Seiten Module für das Wetter in Bielefeld, eBay-Auktionen und was weiß ich noch alles. Das Paper fordert dazu auf, dass der Anwender doch bitte nachschauen soll, ob die eingesetzten Module auch sicher sind. Dazu sind grob geschätzt unter 1% der Anwender in der Lage.
Eine Zertifizierung von 3rd-Party-Software muss für Joomla geschaffen werden, um genau diesen Prozess den Anwendern nicht aufzulasten.

Dafür muss aber auch der Willen da sein, sich mit der Materie zu beschäftigen und zu lernen. Und die ist nunmal selten gegeben. Installieren und loslegen heißt die Devise. Ich will auch nur Auto fahren und nicht bis ins kleinste Detail wissen wie die Computersteuerung meines Autos die Kraftstoffzufuhr regelt. Und genau dieses Verhalten (ist ja eigentlich nichts verwerfliches dran) kann man auf den größten Teil der Joomla-Anwender abbilden.

Das Thema Sicherheit sollte also vermehrt von Joomla selber in die Hand genommen. Ansonsten müßte man bald roemerlis zitierte Beschreibungen ändern.

CU
Stephan

__________________
Insomniaonline

Gelöste Threads bitte markieren: Anleitung

Spider

Nope, hast Du nicht. Du hast zitiert und daraus interpretiert. Das aber falsch
"technisch nicht versierte Nutzer" sind nicht die Zielgruppe, sondern ein Gruppe die mit Joomla zurecht kommen soll.
Denn es steht "So können auch technisch nicht versierte Nutzer damit ihren Webauftritt gestalten"

Cu