Thema: Die zehn dümmsten Joomla! Administrator Tricks

Zitat von KaffDaddy

Naja, das ging wohl an mich.
Da kann ich leider nur zurückgeben, dass ich hier zwar Mod bin, meine Funktion aber in erster Linie im Sauberhalten des Forums besteht und nicht im Beantworten von Fragen.

So ist es!
Sicher hast Du recht, das Du als Mod (auch) bestimmte Aufgaben hast.
Hier im Thread bist Du aber aktiv am diskutieren und nicht am "sauberhalten" (Zähl mal die Postings).

Ich denke Du nimmst mir eine solche Kritik nicht übel. Die Kritik soll auch nicht an Personen festgemacht werden. Du warst hier nur der Auslöser für mein Posting.

Zurück zum Thema:

Nur um nochmal darauf einzugehen: Ein sicherer Server nützt mir überhaupt nichts, wenn über mein Skript Cross Site Scripting, Code Injections oder ähnliches möglich ist, mit dem dann auch auf einem abgesicherten System die Datenbank leergeräumt oder Dateien erstellt werden können.

Selbstverständlich ist beides wichtig und voneinander abhängig. Ich denke das konnte man meinen Aussagen entnehmen.

Meine Aussage beruht jedoch auf einer mittlerweile recht langen Erfahrung mit Joomla-Hosting und einem Rack voller Server mit 90% Joomla-Anteil.
Ich behaupte, das mehr als 90% aller typischen Joomla-Hacks die hier im Security-Forum gepostet werden auf halbwegs sicher konfigurierten Servern nicht den Hauch einer Chance gehabt hätten. Ich teste diese Hacks laufend, habe einen Server nur zum testen für diese Angriffsmuster zur Verfügung.

Die Massenhoster-Szene stellt nur selten wirklich sichere Server bereit und ist leider auch so, das die Empfehlungen für Joomla-Hosting nach wie vor gravierend fahrlässig sind. Überall werden/wurden 777er-Rechte, safemode=off usw. empfohlen. Mittlerweile werden Scripte entwickelt, mit denen man als Dau-User seinen Webspace mit php-ini-Datein "zupflastert" und gravierenden Einfluss auf Konfigurationen nimmt, obwolh man selbst gar nicht weiss was man da tut... Da werden Installer entwickelt die genau das Gegenteil einer sicheren Umgebung bereitstellen. Alles freut sich, weil plötzlich eine Komponente läuft...

Ein Großteil der ganzen Problemtik um Joomla und seine Sicherheit ist also HAUSGEMACHT! Wohlgemerkt von FACHLEUTEN und NICHT von den Usern. Diese User haben nun damit zu kämpfen und sind (verständlicherweise) größenteils vollkommen überfordert. Das nur als Randbemerkung zu verstehen über die ich gar nicht weiter diskutieren will.

Zitat von flotte

Ich denke Du nimmst mir eine solche Kritik nicht übel.

Nene, da muss schon mehr kommen, bevor ich jemandem etwas übel nehme.

Zitat von flotte

Selbstverständlich ist beides wichtig und voneinander abhängig. Ich denke das konnte man meinen Aussagen entnehmen.

Wollte es ja nur noch einmal heraus stellen.

Zitat von flotte

Ein Großteil der ganzen Problemtik um Joomla und seine Sicherheit ist also HAUSGEMACHT! Wohlgemerkt von FACHLEUTEN und NICHT von den Usern. Diese User haben nun damit zu kämpfen und sind (verständlicherweise) größenteils vollkommen überfordert. Das nur als Randbemerkung zu verstehen über die ich gar nicht weiter diskutieren will.

Ist aber wieder die Frage: wer war zu erst da?
Die Hoster wollen nur Geld verdienen und hauen ihre Server mit so vielen Kunden wie möglich zu. Wirtschaftlich betrachtet kann man ihnen also keinen Vorwurf machen. Nur dass dieses Verhalten zu Lasten der Sicherheit geht.

Und genau hier würde ich gerne ansetzen: Was ist, wenn die Webanwendung selber genau an diesem Missstand ansetzt? Seine Funktion verweigert, wenn bestimmte Voraussetzungen nicht erfüllt sind?
Es kann doch kein Argument sein, dass man einen überforderten User in Schutz nimmt, weil er nicht versteht, was er tut? Das wäre ja genauso, als würde ich einem Fahranfänger den Schlüssel eines Porsches in die Hand drücken und ihm sagen: "Falls was passiert, verklagen wir die Leute in Stuttgart, denn die haben den Mist verzapft."

Wer von gewissen Dingen keine Ahnung hat, soll sich entweder informieren oder die Finger von lassen. Wir sind leider noch nicht im Star Trek-Universum angekommen, in dem die Bedienung von Computern kinderleicht funkioniert.

Wünsche noch einen schönen Samstag abend und bin gespannt morgen hier weiterzulesen.

CU
Stephan

Zitat von KaffDaddy

Es kann doch kein Argument sein, dass man einen überforderten User in Schutz nimmt, weil er nicht versteht, was er tut?

Wer nutzt ein solches Argument? Ich jedenfalls nicht.

Nein, ich wollte mit meinem letzten Statement AUCH darauf hinweisen, das die ganze Situation um Joomla aus Usersicht nicht unkompliziert ist - und dafür kann der User nichts (wie oben geschildert). Die weitaus meisten Fragen und Sicherheitsprobleme resultieren aus genau diesem Manko und nicht aus der "Dummheit" der User.
Ich kenne weitaus komplexere Software die aber viel einfacher zu installieren ist und die sogar noch viel unkritischer gegenüber der Serverumgebung ist. Es geht also auch anders - besser.

Also: Ich nehme all diejenigen User in Schutz die hier mit Phrasen bombardiert werden, nur weil sie "schon wieder" eine Frage stellen die tausende andere vor ihnen auch schon mal gestellt haben und damit am Nerv der Fachleute zerren. Nur: Die ganzen anderen Fragen haben ANDERE User gestellt. (OK, jetzt bitte kein Suchfunktion-Diskussion).

Ich bin mir sicher, das viele User sich hier tatsächlich vernünftig einarbeiten und dazulernen. Das geht allerdings in der Masse der Neu-User unter. Wie schon oben gesagt: Dieser Lerneffekt kann man in solchen offenen Foren nicht feststellen.

Zitat von flotte

Also: Ich nehme all diejenigen User in Schutz die hier mit Phrasen bombardiert werden, nur weil sie "schon wieder" eine Frage stellen die tausende andere vor ihnen auch schon mal gestellt haben und damit am Nerv der Fachleute zerren. Nur: Die ganzen anderen Fragen haben ANDERE User gestellt.

Das ist aber (auch) der Sinn eines Forum (Bretts, Bulletin-Boards, einer Newsgroup...): Wissen zu konservieren und verfügbar zu halten, anstatt es wie in einem Chat oder an einer telefonischen Hotline nur flüchtig weiterzugeben und gleich nach der Übergabe wieder in der Versenkung verschwinden zu lassen.

(OK, jetzt bitte kein Suchfunktion-Diskussion).

Davon hatten wir bereits genug, auch über ihre Schwächen. All das kann aber keine Entschuldigung dafür sein, daß eine Frage unmittelbar unter dem "Wichtig"-Thread mit demselben Thema gestellt wird, oder daß jemand, dessen Frage an das Ende eines 190 Beiträge umfassenden Threads gehängt wird, umgehend behauptet, seine Lösung wäre nicht dabei.

Wie ich oben schon schrieb: Wer sich vor volle, dampfende Schüsseln setzt, aber sein privates kleines Tellerchen gefüllt haben möchte und sich auch noch beschwert, daß niemand aufsteht und ihn bedient, hat so eine Inschutznahme ganz einfach nicht verdient.

Zitat von gsdata

Idee?
Vielleicht sollte man hier im Forum einige Basis Rubrik einrichten, z.B. Sicherheit, Templates,Komponenten und Modulen wo Profis Ihr Wissen zum Nachlesen reinstellen und das nicht von anderen User mit neuen Postings geändert werden können.

Gibt es: Beta Howtos und Fertige Howtos. Hält einige trotzdem nicht davon ab, exakt die Fragen zu stellen, die dort beantwortet werden. Ich bin inzwischen dazu übergegangen, diese Howto-Threads als Sammelthreads zu zweckentfremden und die Fragen einfach unkommentiert hinten anzuhängen. Das ist auf jeden Fall effektiver als ein Hinweis auf die Suche oder ein Link zu diesem Thread. Und wenn tatsächlich berechtigte Fragen offen bleiben, werden sie gleich im passenden Kontext beantwortet und nicht an irgendeiner anderen Stelle.
Wer sich beschweren möchte, daß dadurch diese Threads (an sich unnötig) immer länger werden, soll sich damit an diejenigen wenden, die ihn so unnötig verlängern

Als negativ Beispiel ist für mich der Thread über die Pony Gallerie, die ist mittlerweile so groß, da blickt niemand mehr durch.

Der ist völlig aus dem Ruder gelaufen, das ist richtig. Dort werden allerdings auch so viele verschiedene Fragen behandelt, daß man ihn auch nicht als Sammelthread für ein bestimmtes Problem ansehen kann.

Ja natürlich sollen User erst mal selbst suchen bevor Sie jede Frage wiederholt stellen. Darum ging es ja nicht. Das gehört zu einer vernünftigen Forumskultur und hier müssen die Mods auch einschreiten.

Zitat von elkuku

7. Benutzen Sie den selben Benutzernamen und Passwort für Ihr Online Bankkonto, den Joomla! Administrator, Amazon, Yahoo etc. Wer hat schon die Zeit sich so viele Passworte zu merken? Da Sie die Passworte sowieso nie ändern ist es auch viel einfacher das selbe Passwort immer und überall zu verwenden.

Hier muss ich deutliche Kritik üben:

"Benutzen Sie immer Ihren Vornamen als Benutzername und Passwort, immer und überall, so können Sie gewiss sein, dass Sie sich nie verzetteln, oder vertippen. Also wozu kompliziert, wenns noch einfacher geht."

Ich hoffe dieser Vorschlag wird mit in das Original eingebaut, ansonsten fände ich das doch sehr fahrlässig.