Thema: Die zehn dümmsten Joomla! Administrator Tricks

Also ich wäre dafü dass man so eine Art "Checkliste" zum Thema Sicherheit veröffentlicht.

Wenn man eine Sache im Thema Sicherheit überliest bzw vergisst und die Seite wird gehackt, denn ist das geschrei bzw die Verzweifelung groß , besonders bei den Neulingen. Denn kein Neuling kann alle 3300 Beiträge zum Thema Sicherheit durchlesen, höchstens nach was suchen, aber was genau soll er suchen? Stichwort: Sicherheit???

Alle anderen Probleme zu Modulen, Komponenten, Template.etc sind halb so wichtig und kann selber gesucht werden.

PS: Zum Thema Joomla ist beliebt:
Wenn Joomla nicht so beliebt wäre, denn würde zwar weniger Hacks auftauchen, aber natürlich auch viel weniger Komponente, Module etc. Wenn kaum einer Joomla benützen würde, denn macht sich auch kaum einer die Arbeit irgendwas zu erstellen.

Zitat von KaffDaddy

Tjoah, dann vielleicht doch die Holzhammermethode? Wer keine Ahnung hat, kann nicht mehr Installieren, weil die Installation erschwert wird?

Das wäre eine Maßnahme, die ernsthaft zu überdenken ist.

Auf der Website von joomla.org gibt es das Extensionverzeichnis, in dem man eine Menge Extension bekommen kann, die in keinster Weise geprüft sind. Wie in der Satire oben auch steht, macht sich sogar das Coreteam (diese haben das Posting im Originalthread als sehr witzig angesehen) über die "Entwickler"-Zunft lustig:

Nicht zu Unrecht. So gut wie alle Hacks sind über schlecht abgesicherte Extensions gelaufen. Auf diese Extension hat das Core Team in erster Linie keinen Einfluß.

Dieser Umstand wird aber auf der Extensionseite in keinster Weise dem Unbedarften aufgezeigt. Da es eine offizielle Seite ist wird auch angenommen, dass diese Extensions "funktionieren" werden und sicher sind.

Das ist leider richtig. Besonders schlimm fand ich, daß zunächst sogar in der eigenen Liste als angreifbar geführte Extension nicht von der Extensions-Seite genommen wurden. Ob da immer noch unsichere Erweiterungen verlinkt sind, weiß ich aktuell nicht.

Zumindest für die 1.5 ist ja ein QM angedacht. Ob das vorhandene Knowhow und die Manpower ausreichen, ist mir allerdings noch nicht ganz klar. Wenn ich mir so ansehe, was dort täglich als New und Updated erscheint, halte ich das für eine kaum zu bewältigende Sisyphus-Arbeit. Es wird ein klarer Schnitt zwischen "zertifiziert" und "nicht zertifiziert" nötig sein, und der User wird selbst entscheiden müssen, ob er das Risiko bei einer nicht zertifizierten Extension eingeht, ohne irgendwie abschätzen zu können, welches Risiko er dabei eingeht.

Der beste Weg ist meiner Meinung nach der, dass man dem Unbedarften User erstmal (durch Schwierigkeiten) verdeutlicht auf was für Terrain er sich bewegt und dann an die Hand nimmt, um ihm das nötige Knowhow beizubringen.
Nur dadurch kann man das System Joomla sicherer machen und das Bild von Joomla nach außen hin verbessern.

Das setzt Lernwilligkeit und Lernfähigkeit voraus. Wenn ich hier so manche Beiträge sehe "Ich will das nicht erst lernen, ich will einfach nur wissen, wie das geht", sehe ich da in mancher Hinsicht pechschwarz.
Einerseits gut, weil es genau diese User sind, die Joomlas Ruf versauen, andererseits sind genau das die lautesten und ausdauerndsten Schreihälse, wenn es darum geht, ein System schlecht zu reden.

Zitat von Helena

Ich fände es gut wenn es eine Art Tüv gäbe für neue Komponenten und Erweiterungen. Habe aber in einem Thread gelesen , das es sehr aufwendig ist..

Dieser "TÜV" ist für die 1.5+ Extensions geplant. In der Praxis ist er aber fast chancenlos. Zum einen ist die schiere Menge an neuen Extensions und Updates kaum zu bewältigen, zum anderen müßten allen zertifizierten Extensions beim Auftauchen eines neuen Exploits zunächst die Zertifizierung entzogen werden und alle Prüfungen von vorn beginnen.

Wer aus der Community stellt sich für eine solche nicht zu bewältigende Frust-Arbeit zur Verfügung?

Zitat von basic

also ich meine: Joomla ist weitverbreitet (5 mio Installs oder so? (irgendwo gelesen)) und sicher

Das Basissystem wurde da überprüft und das auch bestimmt in einer Umgebung, die mit Fachwissen vorher geschaffen wurde. Da wurde bestimmt kein Joomla auf einem Massenhoster mit Standardeinstellungen überprüft, geschweige denn irgendwelche 3rd-Party-Komponente installiert. Leider gibt es keinen Link zur Definition der Testumgebung.

Zitat von Funzelchen

Also ich wäre dafü dass man so eine Art "Checkliste" zum Thema Sicherheit veröffentlicht.

Wozu eine Checkliste, die man manuell abarbeiten muss? Gleich in den Installations-, Konfigurationsvorgang mit einarbeiten. Wenn gewisse Parameter nicht erfüllt sind, verweigert das System die Arbeit.

Zitat von DietmarH

Das setzt Lernwilligkeit und Lernfähigkeit voraus. Wenn ich hier so manche Beiträge sehe "Ich will das nicht erst lernen, ich will einfach nur wissen, wie das geht", sehe ich da in mancher Hinsicht pechschwarz.

Diese Lernresistenten könnten dann aber Joomla gar nicht benutzen, weil es die Arbeit verweigern bzw. nicht funktionieren würde.

Ich stelle mir ja kein System vor, dass dem User die Wahl läßt, sondern knallhart gewisse Parameter erfüllt sehen möchte. Wenn z.B. bestimmte Dateien/Verzeichnisse nicht die erforderlichen Rechte haben, verweigert das System seine Funktionalität.

CU
Stephan

Zitat von Funzelchen

Also ich wäre dafü dass man so eine Art "Checkliste" zum Thema Sicherheit veröffentlicht.

Die Idee ist gut:
http://www.joomlaportal.de/sicherhei...heckliste.html

Björn

Zitat von basic

Die Gefahr lauert doch in erster Linie hinter register_globals.

Aber nicht nur. Da gehört dann auch noch eine Menge mehr an Konfiguration des Webservers und PHP/MySQL dazu.

Zitat von basic

Sagen wir mal, wenn alle sicherheitsrelevanten Einstellungen im Setup "grün" sind, ist das Grundsystem sicher!

Einigen wir uns darauf.
Aber wer benutzt denn nur das Grundsystem? Man schaue sich nur die Probleme hier im Forum an...

CU
Stephan

Zitat von KaffDaddy

Das Basissystem wurde da überprüft und das auch bestimmt in einer Umgebung, die mit Fachwissen vorher geschaffen wurde. Da wurde bestimmt kein Joomla auf einem Massenhoster mit Standardeinstellungen überprüft, geschweige denn irgendwelche 3rd-Party-Komponente installiert. Leider gibt es keinen Link zur Definition der Testumgebung.

Anscheinend ist der Core selbst äußerst unkritisch gegenüber seiner Umgebung. Wenn man sich verdeutlicht, wie viele Joomlas in extrem ungünstigen Umgebungen trotz massiver Attacken ungehackt laufen, kann die Umgebung für den Core selbst nicht übermäßig relevant sein.

Das heißt natürlich nicht, daß die Umgebung völlig egal ist, aber offensichtlich sind von problematischen Umgebungen eher Extensions als Joomla selbst bedroht.

Diese Lernresistenten könnten dann aber Joomla gar nicht benutzen, weil es die Arbeit verweigern bzw. nicht funktionieren würde.

Wobei sich da die Frage stellt, wie weit das gerechtfertigt ist. Wenn Joomla selbst in dieser Umgebung sicher ist, muß das noch lange nicht für beliebige Extensions zutreffen. Soll deshalb die Installation von Joomla verweigert werden?

Ich stelle mir ja kein System vor, dass dem User die Wahl läßt, sondern knallhart gewisse Parameter erfüllt sehen möchte. Wenn z.B. bestimmte Dateien/Verzeichnisse nicht die erforderlichen Rechte haben, verweigert das System seine Funktionalität.

Die Abfragelogik dafür stelle ich mir angesichts der vielen möglichen Serverkonfigurationen horromäßig vor. Hinzu kommen dann die "Kompromiss-Varianten", die zwar eine Warnung sinnvoll machen, aber durch Zwang die Nutzung bestimmter Extensions ausschließen würden, z. B. solche, die zwar noch RG=on erfordern, aber durch entsprechende interne Abfragen trotzdem sicher sind.