+ Antworten
Seite 1 von 2 1 2 LetzteLetzte
Ergebnis 1 bis 10 von 19

Thema: Diskussion zur Joomla! Sicherheits Checkliste

  1. #1
    Verbringt hier viel Zeit Avatar von rabe
    Registriert seit
    31.08.2005
    Ort
    Regensburg
    Beiträge
    946
    Bedankte sich
    4
    Erhielt 375 Danksagungen
    in 215 Beiträgen

    Standard Diskussion zur Joomla! Sicherheits Checkliste

    Hallo,

    wie bereits in der Übersetzung der Sicherheits Checkliste (siehe http://www.joomlaportal.de/sicherhei...heckliste.html) angekündigt, eröffne ich nun auch gleich ein Diskussions Topic, das sich ähnlich dem Topic im offiziellen Forum auf Joomla.org mit der Diskussion rund um die angesprochenen und natürlich auch weitere Sicherheitsfragen beschäftigen soll.
    So hoffen wir, dieses wichtige Thema immer auf dem neuesten Stand halten zu können.

    Viele Grüße
    Anne

  2. #2
    War schon öfter hier Avatar von Spider
    Registriert seit
    07.01.2006
    Alter
    34
    Beiträge
    155
    Bedankte sich
    5
    Erhielt 22 Danksagungen
    in 19 Beiträgen

    Standard

    Hi,

    sehr sehr cool, Respekt.

    2 Anmerkungen hätte ich:

    Entwicklungsserver
    [..]
    • Hier können Sie XAMPP XAMPP herunterladen

    ^^ hast denn Link vergessen

    Es sollte ausserdem in diesem Punkt mit erwähnt werden das, wenn man sich schon eine Entwicklungsserver aussetzt, man darauf achten sollte dass die Konfiguration des Live- und des Entwicklungsservers nahezu identisch ist.
    Denn sonst mach so eine lokale Testumgebung nicht wirklich viel Sinn
    Man sollte sich ein Script auf seinem Live-Server anlegen mit folgendem Inhalt:
    PHP-Code:
    <?
       phpinfo
    ();
    ?>
    Diese ruft man dann im Browser auf und arbeitet die Einstellungen manuell mit der lokalen php.ini ab.
    Eine Anfrage an den Hoster, ab der einem denn mal die auf dem Live-Server verwendete php.ini zuschicken könne, wird in den meisten Fällen wohl verneint werden

    Cu

  3. #3
    War schon öfter hier Avatar von Biomehaniker
    Registriert seit
    18.08.2005
    Beiträge
    146
    Bedankte sich
    20
    1 Danksagung in 1 Beitrag

    Standard

    Bezüglich eines Entwicklungsservers, ich fände ja ein VMware Image nicht schlecht... eine LinuxVersion... die schon alles notwendige mit sich bringt... man die nur noch hochfahren braucht und gut ist...

    Das hätte den Vorteil, das man so eine testumgebung mal eben schnell von einem PC auf den anderen verschieben kann, oder anderen Leuten die an dem Projekt arbeiten auch zur verfügung stellen kann...

    Das mit dem Linux Server (100-200MB) währe in wehnigen Minuten eingerichtet. Nur wie bekommt man das dann unter dem VMWare Player zum laufen?

    Ich finde leider den Artikel nicht mehr, aber mit dem Kostenlosen VMWare Server sollte sich so ein Image erstellen lassen, das man dann in den VMWare Player einbauen kann.

    Vielleicht finden sich ja einige Leute die interesse drann haben das mit mir zu bauen ;-)
    Erst wenn der letzte Programmierer eingesperrt und die letzte Idee patentiert ist, werdet ihr merken, dass Anwälte nicht programmieren können.

  4. #4
    War schon öfter hier Avatar von roemerli
    Registriert seit
    24.03.2006
    Ort
    Frankfurt am Main
    Beiträge
    127
    Bedankte sich
    11
    Erhielt 17 Danksagungen
    in 14 Beiträgen

    Standard

    Schönes Teil, auch auf Deutsch. Lieben Dank für die Mühen.

    • Engagieren Sie einen Joomla! Profi, der sich mit Sicherheitsfragen auskennt, um Ihre Seitenkonfiguration überprüfen zu lassen.
    Liest sich wie der Beipackzettel eines Medikamentes.
    Mittelständler sucht Webpräsenz und Joomla-Profi. Sorry, da muss ich schmunzeln. Den "zertifizierten" Joomla-Profi gibt es nicht und ein Großteil "möchte" gerne einer sein. Der Rest ist schweigen und Geld rauswerfen.
    Nicht aber auch gar nicht praktikabel und ein klitzeklein wenig an der Realität vorbei.
    So etwas muss meines Erachtens direkt von spezialisierten Webhostern kommen, die aber auch keine Gewähr bieten wollen und dann eben sagen: "Die Sicherheitslücke ist neu". Alles schon mal da gewesen

    • Gehen Sie nicht auf einen Shared Server. Einige Experten sind sich diesbezüglich uneins.
    Wenn ich mir mal grob das Verhältnis von Shared-Servern zu dezidierten Servern in der bundesrepublikanischen Wirklichkeit anschaue, wird dieser wohlgemeinte Ratschlag auch eher keine Anwendung finden.
    "Sehn se, hätten Sie mal einen dezidierten Server genommen", ist dann allerdings auch kein gutes Argument.

    Und wenn ich mir mal die unzähligen Hobbyisten anschaue, die auch durch ihre zahlreichen Rückmeldungen viel zur Weiterentwicklung von Joomla beitragen und darüber hinaus auch noch massiv das Web mit Inhalten bereichern, denke ich mal, dass die Forderung ein wenig mehr in Richtung Joomla bezüglich Sicherheit gehen sollte.

    Alles in allem eine wirklich gute Zusammenfassung, exzellente Übersetzung mit naturgemäß der Maximalforderung an Sicherheit, die im praktischen Gebrauch nur sehr schwer umzusetzen ist.

    Alles Liebe
    Andi
    "It don't mean a thing, if it ain't got that swing"
    Jazz & more: http://roemer.li
    Bilder & mehr auf http://www.bilddetail.eu

  5. Erhielt Danksagungen von:


  6. #5
    Verbringt hier viel Zeit Avatar von rabe
    Registriert seit
    31.08.2005
    Ort
    Regensburg
    Beiträge
    946
    Bedankte sich
    4
    Erhielt 375 Danksagungen
    in 215 Beiträgen

    Standard

    Hallo,

    als kleine Anmerkung und gemeinsamen Denkanstoß:
    vielleicht sollte ich noch besser herausarbeiten, dass es sich beim letzten Teil des Texts um eine eher etwas ironische Darstellung handelt?

    Es heißt ja z.B. sinngemäß: "gehen Sie auf keinen Fall auf einen Shared Server, wenn Sie unter einer übertriebenen Angst leiden, gehackt zu werden".
    Leider ist es aber in der Realität ja gelegentlich so, dass sich Mittelständler oft lieber vor drei Euro mehr oder weniger leiten lässt statt sich vorab wenigstens beraten zu lassen.

    Wer den Artikel im Original gelesen hat, wird auch feststellen können, wie das mit dem Joomla! Sicherheit***perten gemeint ist.
    Von der Praktikabilität einiger anderer Vorschläge ganz zu schweigen ;-)

    Viele Grüße
    Anne

  7. #6
    Gehört zum Inventar Avatar von KaffDaddy
    Registriert seit
    06.02.2005
    Ort
    Kassel
    Beiträge
    5.868
    Bedankte sich
    27
    Erhielt 1.067 Danksagungen
    in 709 Beiträgen

    Standard

    Moin Moin !

    Zitat Zitat von rabe Beitrag anzeigen
    Es heißt ja z.B. sinngemäß: "gehen Sie auf keinen Fall auf einen Shared Server, wenn Sie unter einer übertriebenen Angst leiden, gehackt zu werden".
    Leider ist es aber in der Realität ja gelegentlich so, dass sich Mittelständler oft lieber vor drei Euro mehr oder weniger leiten lässt statt sich vorab wenigstens beraten zu lassen.
    Vielleicht sollte man die Zielgruppe für dieses Paper definieren:
    Zielt dieses Paper auf die Menge von Usern ab, die Joomla als CMS benutzen und sich Webdesigner schimpfen, obwohl sie noch sehr wenig Ahnung von der Materie haben? Webentwickler mit einer gewissen Erfahrung benötigen solch ein Paper ja "eigentlich" nicht. Oder doch auf die Masse, die Joomla für Ihre Hobby-Websites einsetzen?

    Letztere werden nie auf die Idee kommen mehr als 10 Euro pro Monat für Webspace auszugeben, selbst wenn man im Backend mit rot blinkender Dialogbox drauf hinweist. Das schreckt diese eher ab und wandern zu anderen Portal-Systemen ab. Und in dem Preissegment werden sie erstens kaum die Chance haben, sicherheitsrelevante Konfigurationen zu ändern und müssen hoffen, dass sie einen Hoster haben, der seinen Server auf den Betrieb von CMSsen abgestimmt hat. Zweitens wird der Großteil schon gar keine Lust haben, sich mit den Hintergründen der Thematik auseinanderzusetzen. Abends und am Wochenende ist halt auch nicht so viel Zeit und Familie und Hobbies wollen ja auch noch Platz haben.
    Für diese Zielgruppe wird das Paper also ein Buch mit sieben Siegeln bleiben bzw. müßte man aufbauend auf dieser Thematik ein ganzes Buch verfassen, mit Schritt-Anleitungen, wie man Joomla ein bißchen sicherer bekommt.

    Nehmen wir auch mal so Hinweise wie
    Entfernen Sie alle Joomla! Erweiterungen, die register_globals ON erfordern
    Woher soll denn der unbedarfte Anwender wissen, welche Komponenten, Mambots und Module dies sind? Im Quelltext nachschauen?
    Man sollte extensions.joomla.org diesbezüglich erweitern.

    Auch sind sehr viele Punkte sehr allgemein gehalten bzw. unsinnig. Ich möchte jetzt nicht Deine Arbeit runtermachen, sondern durch diese harte Umschreibung anregen, den Text zu überarbeiten. Zum Beispiel
    Laden Sie Ihre Erweiterungen nur von vertrauenswürdigen Seiten herunter. Die offizielle Definition für vertrauenswürdig ist dabei: Seiten, denen Sie selbst vertrauen
    Was soll man mit der Info anfangen? Ich kenne keinen unbedarften User, der ActiveScripting in seinem Browser reglementiert oder mit einem Sicherheitsmodell arbeitet. Was blinkt wird angeklickt.

    Um wirkliche Sicherheit zu bieten, müßte man eigentlich von der anderen Seite her den User bevormunden: wenn z.B. Register Globals aktiv ist, dann wird die Installation mit einer entsprechenden Fehlermeldung und Link zum Weiterinformieren abgebrochen!
    Ob man dem User mehr Hintergrundwissen abverlangt oder über den Mund fährt: das Dilemma ist vorprogrammiert, da Joomla komplexer werden muss, um sicherer zu werden. Und damit werden dann viele potenzielle User abgeschreckt.

    Aber der Text ist schonmal ein guter Ansatz.

    CU
    Stephan
    Geändert von KaffDaddy (04.09.2006 um 09:31 Uhr)
    Insomniaonline

    Gelöste Threads bitte markieren: Anleitung

  8. #7
    Verbringt hier viel Zeit Avatar von rabe
    Registriert seit
    31.08.2005
    Ort
    Regensburg
    Beiträge
    946
    Bedankte sich
    4
    Erhielt 375 Danksagungen
    in 215 Beiträgen

    Standard

    Hallo,

    du hast vollkommen recht mit deinen Überlegungen hinsichtlich der Zielgruppe...

    Der Grund für die Übersetzung war der Link um Backend und die Idee, dass es doch eine tolle Sache wäre, einfach eine deutsche Variante bereitstellen zu können.
    Als ich dann anfing zu übersetzen, hörte es sich wirklich ein bißchen nach Beipackzettel an und da habe ich angefangen, freier zu schreiben. Geht allerdings auch nur bedingt, denn- aber vielleicht klärt sich das ja auch in gemeinsamer Diskussion- meine Idee war, den Artikel ggf. zu aktualisieren, wenn er auf joomla.org aktualisiert wird.

    Inzwischen wird aber immer mehr klar, dass es wichtig ist, auf hiesige Verhältnisse einzugehen und vor allem das zu tun, was der Originaltext eben nicht tut:

    Hintergrundinfos, was das eigentlich alles bedeutet,
    vielleicht eine Hilfestellung, wie man überhaupt den für sich richtigen Provider findet (für sich oder seine Kunden) und einfach sensibilisieren. Es wird ja nun leider immer mehr klar, dass dieses "kleine, übersichtliche Joomla!" dann doch nicht weniger gefährdet ist, nur weil es klein und übersichtlich ist.
    Du schreibst ja auch ganz richtig, es muss komplexer werden.
    D.h. aber auch die User müssen wissen, was sie in der Hand halten, wenn sie ich einen wie auch immer gearteten Server oder ein CMS zulegen.
    Die Zielgruppe? Ich denke z.B., es gibt einige Webdesigner, die sich eben irgendwann aus Interesse oder Bedarf an ein CMS wagen ( in diesem Fall ist Joomla! ja geradezu prädestiniert...).

    Passend wäre vielleicht noch eine Linkliste, mit übersichtlichen Zusammenfassungen. Ich glaube ehrlich gesagt nicht, dass sich der normale Joomla! User die mySQL Dokumentation "reinzieht", die Links des Originaltexts sind also eher abschreckend, könnte ich mir vorstellen.

    Viele Grüße
    Anne

  9. #8
    War schon öfter hier Avatar von roemerli
    Registriert seit
    24.03.2006
    Ort
    Frankfurt am Main
    Beiträge
    127
    Bedankte sich
    11
    Erhielt 17 Danksagungen
    in 14 Beiträgen

    Standard

    Hallo "rabe",

    nach wie vor grandiose Arbeit und zum Thema Zielgruppe sollte man sich vielleicht einmal mit den "Urtexten" hier beschäftigen.
    Auch gedacht an all jene, die ständig an der Welt vorbeireden und Expertenwissen voraussetzen.

    Ich zitiere hier dann mal:
    Joomla! ist ein sogenanntes Content Management System (CMS) , mit dem sich auf einfache Art und Weise die Inhalte einer Website gestalten lassen. Es eignet sich ausgezeichnet für kleinere und mittlere Auftritte, aber auch große Portale sind mit diesem System bereits realisiert worden. Joomla! ist sehr einfach zu bedienen und sorgt damit für schnellen Erfolg beim Anwender. Ein weiteres Merkmal ist seine Flexibilität. Mit Hilfe einer Fülle von Erweiterungen lassen sich viele zusätzliche Funktionalitäten in Joomla! integrieren.
    Und dann noch dieses hier:
    Was Joomla! vom Rest abhebt, ist die Hingabe des Entwickler Teams, möglichst viele Funktionalitäten mit einer sehr einfachen Bedienung zu vereinen. So können auch technisch nicht versierte Nutzer damit ihren Webauftritt gestalten. Dank Joomla! ist dafür keine geschlossene, proprietäre und oftmals sehr teure CMS-Software erforderlich.
    Zielgruppe: "technisch nicht versierte Nutzer", die "ihren Webauftritt gestalten" wollen.

    Dies ist der Anspruch, zu finden auf : http://www.joomla.de/allgemein/was_ist_joomla/

    Ich habe nur zitiert!

    Andi
    "It don't mean a thing, if it ain't got that swing"
    Jazz & more: http://roemer.li
    Bilder & mehr auf http://www.bilddetail.eu

  10. #9
    Gehört zum Inventar Avatar von KaffDaddy
    Registriert seit
    06.02.2005
    Ort
    Kassel
    Beiträge
    5.868
    Bedankte sich
    27
    Erhielt 1.067 Danksagungen
    in 709 Beiträgen

    Standard

    Zitat Zitat von rabe Beitrag anzeigen
    Inzwischen wird aber immer mehr klar, dass es wichtig ist, auf hiesige Verhältnisse einzugehen und vor allem das zu tun, was der Originaltext eben nicht tut:

    Hintergrundinfos, was das eigentlich alles bedeutet,
    ACK, aber da sehe ich auch das Manko, das man auch jeden Tag hier im Forum beobachten kann: Es wird sich keiner mit den Infos auseinandersetzen, der mit Joomla nur mal so eine Seite für seine kleine Firma oder Verein umsetzen möchte. Und das ist der Großteil der Joomla-User.
    Und es wird aufgrund der Vielzahl an Serverkonfigurationen nur sehr schwer möglich sein, eine Doku zu schreiben, die den unbedarften User an die Hand nimmt und ihm aufzeigt, wie er auf seinem System/Webspace genau die richtigen Einstellungen machen kann. Mal davon ganz abgesehen, ob er überhaupt seitens seines Hosters dazu in der Lage sein wird.

    Zitat Zitat von rabe Beitrag anzeigen
    vielleicht eine Hilfestellung, wie man überhaupt den für sich richtigen Provider findet (für sich oder seine Kunden) und einfach sensibilisieren. Es wird ja nun leider immer mehr klar, dass dieses "kleine, übersichtliche Joomla!" dann doch nicht weniger gefährdet ist, nur weil es klein und übersichtlich ist.
    Senisibilisieren gut und schön aber wie? Selbst ein netter roter Kasten, der dauernd im Backend angezeigt wird, wird noch eine Vielzahl von Usern nicht sensibilisieren. Wieso auch, die Website wird ja angezeigt und funktioniert.
    Selbst in solchen Dingen geschulte Mitarbeiter größerer Firmen kommen zu Hause nicht auf die Idee, ihre privaten E-Mails zum Beispiel per SSL vom Server abzuholen und ihre Daten zu verschlüsseln. Wieso auch? Es sind ja nur private Daten und wen sollen die schon interessieren. Genauso wird es mit Websites gemacht. Es ist leicht geworden, eine eigene Website zu haben und die Funktionsvielfalt ist überwältigend. Wie oft findet man auf Hobby-Seiten Module für das Wetter in Bielefeld, eBay-Auktionen und was weiß ich noch alles. Das Paper fordert dazu auf, dass der Anwender doch bitte nachschauen soll, ob die eingesetzten Module auch sicher sind. Dazu sind grob geschätzt unter 1% der Anwender in der Lage.
    Eine Zertifizierung von 3rd-Party-Software muss für Joomla geschaffen werden, um genau diesen Prozess den Anwendern nicht aufzulasten.

    Zitat Zitat von rabe Beitrag anzeigen
    Du schreibst ja auch ganz richtig, es muss komplexer werden.
    D.h. aber auch die User müssen wissen, was sie in der Hand halten, wenn sie ich einen wie auch immer gearteten Server oder ein CMS zulegen.
    Die Zielgruppe? Ich denke z.B., es gibt einige Webdesigner, die sich eben irgendwann aus Interesse oder Bedarf an ein CMS wagen ( in diesem Fall ist Joomla! ja geradezu prädestiniert...).
    Dafür muss aber auch der Willen da sein, sich mit der Materie zu beschäftigen und zu lernen. Und die ist nunmal selten gegeben. Installieren und loslegen heißt die Devise. Ich will auch nur Auto fahren und nicht bis ins kleinste Detail wissen wie die Computersteuerung meines Autos die Kraftstoffzufuhr regelt. Und genau dieses Verhalten (ist ja eigentlich nichts verwerfliches dran) kann man auf den größten Teil der Joomla-Anwender abbilden.

    Das Thema Sicherheit sollte also vermehrt von Joomla selber in die Hand genommen. Ansonsten müßte man bald roemerlis zitierte Beschreibungen ändern.

    CU
    Stephan
    Insomniaonline

    Gelöste Threads bitte markieren: Anleitung

  11. #10
    War schon öfter hier Avatar von Spider
    Registriert seit
    07.01.2006
    Alter
    34
    Beiträge
    155
    Bedankte sich
    5
    Erhielt 22 Danksagungen
    in 19 Beiträgen

    Standard

    Zitat Zitat von roemerli Beitrag anzeigen
    Zielgruppe: "technisch nicht versierte Nutzer", die "ihren Webauftritt gestalten" wollen.

    Dies ist der Anspruch, zu finden auf : http://www.joomla.de/allgemein/was_ist_joomla/

    Ich habe nur zitiert!

    Andi
    Nope, hast Du nicht. Du hast zitiert und daraus interpretiert. Das aber falsch
    "technisch nicht versierte Nutzer" sind nicht die Zielgruppe, sondern ein Gruppe die mit Joomla zurecht kommen soll.
    Denn es steht "So können auch technisch nicht versierte Nutzer damit ihren Webauftritt gestalten"

    Cu

+ Antworten
Seite 1 von 2 1 2 LetzteLetzte

Ähnliche Themen

  1. joomla vs. typo3
    Von tony soprano im Forum Allgemeine Fragen zu Joomla
    Antworten: 140
    Letzter Beitrag: 29.02.2008, 16:27
  2. Joomla Benutzer aus Datenbank auslesen
    Von djtom im Forum Allgemeine Fragen zu Joomla
    Antworten: 3
    Letzter Beitrag: 07.03.2006, 17:53
  3. Joomla Magazin
    Von tommy4758 im Forum Off Topic
    Antworten: 1
    Letzter Beitrag: 06.03.2006, 14:34
  4. Joomla Einsatz bei grossem Kunden
    Von Lorcher im Forum Allgemeine Fragen zu Mambo
    Antworten: 2
    Letzter Beitrag: 09.11.2005, 08:00

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein