Thema: Die zehn dümmsten Joomla! Administrator Tricks

Zitat von basic

ja lass hören

Bitteschön:
http://httpd.apache.org/docs/
http://de.php.net/manual/de/
http://dev.mysql.com/doc/refman/5.1/de/index.html
Lesen mußt Du schon selbst.
Ne, im Ernst. Es gehört schon ein bißchen mehr dazu, als manchen dem Webserveruser in manchen Verzeichnissen die Schreibberechtigung zu entziehen oder register_globals auf off zu setzen. Problem wird an der ganzen Sache sein, dass, wenn man solch einen Leitfaden für ein sicheres Joomla erstellen würde, er auf keinem Webspace eines Massenhosters umzusetzen wäre. Dort hat man als User keine Möglichkeit, die Konfiguration zu ändern (manche Dinge würden auch die serverweite Konfiguration betreffen) und welcher Normalouser würde schon den Preis eines eigenen Servers (und damit meine ich keine 29,50 Euro-Server) hinblättern nur weil er schnell eine Seite für seinen Fußballverein erstellen möchte?

CU
Stephan

Zitat von KaffDaddy

Das Basissystem wurde da überprüft und das auch bestimmt in einer Umgebung, die mit Fachwissen vorher geschaffen wurde. Da wurde bestimmt kein Joomla auf einem Massenhoster mit Standardeinstellungen überprüft, geschweige denn irgendwelche 3rd-Party-Komponente installiert. Leider gibt es keinen Link zur Definition der Testumgebung.

Wozu eine Checkliste, die man manuell abarbeiten muss? Gleich in den Installations-, Konfigurationsvorgang mit einarbeiten. Wenn gewisse Parameter nicht erfüllt sind, verweigert das System die Arbeit.

Diese Lernresistenten könnten dann aber Joomla gar nicht benutzen, weil es die Arbeit verweigern bzw. nicht funktionieren würde.

Ich stelle mir ja kein System vor, dass dem User die Wahl läßt, sondern knallhart gewisse Parameter erfüllt sehen möchte. Wenn z.B. bestimmte Dateien/Verzeichnisse nicht die erforderlichen Rechte haben, verweigert das System seine Funktionalität.

CU
Stephan

das wäre noch idealer,....

Zitat von DietmarH

Anscheinend ist der Core selbst äußerst unkritisch gegenüber seiner Umgebung. Wenn man sich verdeutlicht, wie viele Joomlas in extrem ungünstigen Umgebungen trotz massiver Attacken ungehackt laufen, kann die Umgebung für den Core selbst nicht übermäßig relevant sein.

Siehe den Link von basic oben. Die meisten Komponenten sind einfach schlampig (und meistens mit Copy&Paste) programmiert.

Zitat von DietmarH

Wobei sich da die Frage stellt, wie weit das gerechtfertigt ist. Wenn Joomla selbst in dieser Umgebung sicher ist, muß das noch lange nicht für beliebige Extensions zutreffen. Soll deshalb die Installation von Joomla verweigert werden?

Deshalb müßte das Grundsystem gewisse Dinge durch sein Framework bereitstellen. Man schaue sich nur gewisse Komponenten an, in denen z.B. POST- oder noch schlimmer GET-Übergaben von Formularen enthalten sind und die nicht mosGetParam zum Auslesen benutzen.

Zitat von DietmarH

Die Abfragelogik dafür stelle ich mir angesichts der vielen möglichen Serverkonfigurationen horromäßig vor.

Habe ja nicht behauptet, dass es einfach oder der Weisheit letzter Schluß wäre. Ein Schritt in diese Richtung würde aber dem System zum Thema Sicherheit bestimmt gut tun.

Zitat von DietmarH

Hinzu kommen dann die "Kompromiss-Varianten", die zwar eine Warnung sinnvoll machen, aber durch Zwang die Nutzung bestimmter Extensions ausschließen würden, z. B. solche, die zwar noch RG=on erfordern, aber durch entsprechende interne Abfragen trotzdem sicher sind.

Software, die register_globals aktiviert sehen möchte, würde ich nie vertrauen. Auch nicht, wenn die Übergabe verifiziert wird. Warum sollte dann überhaupt mit register_globals gearbeitet werden? register_globals ist ein Überbleibsel aus schon lange vergangenen Tagen und ich würde jedem Entwickler seinen Code um die Ohren hauen, wenn er es verlangt.

CU
Stephan

Zitat von KaffDaddy

Habe ja nicht behauptet, dass es einfach oder der Weisheit letzter Schluß wäre. Ein Schritt in diese Richtung würde aber dem System zum Thema Sicherheit bestimmt gut tun.

Welche Konsequenzen der erste zaghafte und halbherzige Schritt in diese Richtung hatte, läßt sich am Sammelthread zu den Sicherheitswarnungen ablesen, der zwar mit den Worten beginnt "um hunderten Fragen vorzubeugen...", aber trotzdem inzwischen 153 Beiträge enthält. Darin enthalten sind noch nicht Beiträge, in denen auch andere Fragen vorkamen, und auch nicht die Deppenbeiträge, die die 1.0.11 als unsicher bezeichneten, weil sie plötzlich vor schon immer vorhandenen Sicherheitslücken warnt.

Gegen Idioten ist nun mal kein Kraut gewachsen, und eine Joomla-Version, die die Installation in kritischen Umgebungen verweigert, würde dazu führen, daß alte, bekannt unsichere Versionen in diesen Umgebungen installiert werden (wie die Praxis hier tatsächlich schon bewiesen hat: "Ich geh zur 1.0.10 zurück, die zeigt wenigstens nicht so bescheuerte Warnungen an, die ich nicht abstellen kann.").

Zitat von basic

Aber es gibt doch auch ne Menge Hoster, die bieten Joomla als Paket an. Da sollte man doch davon ausgehen, dass man relativ safe ist, oder?

Und wovon träumst du sonst noch so?

Zitat von basic

Vom Weltfrieden

Das kommt hin. Die Wahrscheinlichkeit für beides ist in etwa gleich groß.

Zitat von basic

ich wette, der Link ist bekannt, aber man müsste den eigentlich in der Signatur kleben habe für jeden, der sich ernsthaft mit Extension-entwicklung unter Joomla befasst:
http://dev.joomla.org/component/opti...s:make_secure/

nicht ganz so bekannt ist vielleicht die deutsche Fassung:
http://www.joomla.de/content/view/215/17/ - Erweiterungen - Sicherheit

Tja, dieser Thread sollte dazu dienen die Diskussion über Sicherheit mal wieder ein wenig zu beleben.. Hat funktioniert.

Ich denke dies könnte ein Versuch werden, das ganze ein bisschen netter zu verpacken, damit es nicht ganz so "technisch" klingt. Halt ein Anfang.

Man sollte nichts unversucht lassen, um die Community für dieses Thema zu sensibilisieren.

Dies ist einer