Hi All Interessant auf welche Werbe Ideen Agenturen (Silver Member) kommen. Sie sprechen hier nur leider die falschen "Kunden" anderer Agenturen an, wuerde ich mal sagen, denn wir haben mal kurzerhand bekannte Seiten gechecked und oh Schreck, lediglich eine einzige - die http://typo3.org zeigte nichts an.
http://typo3.org/typo3_src/ChangeLog http://typo3.org/typo3conf/ext/realurl/ChangeLog (nur als Beispiele) Doch bei allen anderen kamen viele total veralteten extensions zum Vorschein (d.h. bei einer weiteren war der ChangeLog des Cores redirected). Wir haben zum Testen nur einmal einige der im T3blog gelisteten Seiten genommen. Ich persoenlich finde das schon recht einfach wie man moegliche Sicherheits Luecken durch einen einfachen Vergleich der current Version und der in typo3_src/ChangeLog bzw in typo3conf/ext/ext_xyz/ChangeLog herauslesen kann. Ein einfaches script das die Seiten nach eben diesen Dateien durchforstet und vergleicht und man hat einen TYPO3 Sicherheits Checker - wie er im Grunde bisher nur von Joomla her bekannt war. Da auf der TYPO3.org Webseite keine Infos dergleichen angezeigt werden waere ich sehr daran interessiert zu erfahren wie man seine Webseiten so sicherer machen kann! D.h wie man die Infos der Extensions und des Cores verstecken kann - ohne alle infos loeschen zu muessen was ja auch eine Moeglichkeit wäre. Ebenso interessant waere jedoch auch eine Art Sicherheits Checker (Script/Extension), wie es ihn ja fuer Joomla schon gibt und man seine WebSeiten abfragen kann nach moeglichen Informationen die besser niemand sehen sollte. Bei unserem kurzem Test kam zum Vorschein dass die ueberwiegende Mehrheit der Webseiten wohl nie Sicherheits oder Extension updates erfahren haben nachdem sie dem Kunden uebergeben wurden. Egal ob Welt Organisation oder nicht. Ich finde dies doch sehr bedenklich wenn man dann herauslesen kann dass eine static_info_tables noch auf dem Stande vom 16 November 2007 ist oder eine tt_news seit an beginn 2008 kein update mehr erfuhr. Erst recht erschreckend ist es wenn man sieht wer die Seiten erstellt hat, da man es hier wohl am wenigsten erwarten wuerde. Klar nicht jeder Kunde zahlt auch fuer die Wartung von Webseiten nachdem er einmal eine hat. --- Georg du hast recht mit dem Konzept, nur denke ich, dass die wenigsten ueberhaupt sich darum kuemmern eine Seite auch fuer die Zukunft sicher zu machen, wie unserer kleiner check gezeigt hat. Das mag einerseits an Unwissen liegen oder auch eben an Bequemlichkeit Welchen Weg wuerdest du denn vorschlagen um TYPO3 Webseiten auch fuer die Zukunft abzusichern. Ich denke hier zB auch an das Integrieren eines Update Checkers fuer Extensions der dem KUNDEN mitteilt das da was an seiner Seite veraltet oder gar sicherheitsrelevant ist. In Drupal erhaelt der Developer z.B. diese Infos bereits beim Login. Nicht jedoch bei TYPO3. Mit einem click kann dann die aktuelle Source eingespielt werden, entweder alles zusammen oder nur das was gewuenscht wird. In TYPO3 muss man hierzu erst den Extension Manager öffnen, dann den update check durchfuehren und dann klick by click die Extensions updaten, was im Vergleich zu dem Vorgehen von Drupal7/8 updates wesentlich laenger dauert! Es gibt ja den Scheduler Task der das TER updated doch auch dieser muss erst einmal eingerichtet werden. Im Hinblick auf Security wuerde ich diesen als DEFAULT aktivieren und wer will kann ihn deaktivieren. Das Interesse von typo3 sollte doch in erster Linie sein, dass auch die Extensions sicher bleiben und nicht nur der Core, oder? Andi 2013/8/22 Freddy Tripold <freddy.trip...@tlog.at> > Danke euch allen für den Input... > > > lg > Freddy > > Freddy Tripold > http://www.tlog.at > > > "Wenn Du entdeckst, dass Du ein totes Pferd reitest, steig ab!" > (Weisheit der Dakota-Indianer) > > > Am 21.08.2013 17:45, schrieb Georg Ringer: > > Hallo, >> >> nur um nochmal Input zu liefern. Warum sollte wer nicht wissen dass es >> die 4.5.xx ist? >> >> Angenommen man ist auf der letzten sicheren Version unterwegs, dann >> gibts e keine bekannte Sicherheitslücke. >> Angenommen man ist aber auf einer unsicheren Version unterwegs, da >> brauch ich keine ChangeLog.txt oder sonstwas weil da prüf ich einfach >> direkt auf die Lücke und seh da sofort ob die Version unsicher ist oder >> nicht. >> >> Dh lieber die Arbeit ins Konezpt stecken wie man schmerzfrei die Kunden >> aktualisiert >> >> Georg >> > ______________________________**_________________ > TYPO3-german mailing list > TYPO3-german@lists.typo3.org > http://lists.typo3.org/cgi-**bin/mailman/listinfo/typo3-**german<http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german> > _______________________________________________ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
