Der TYPO3 Security Blog hat nun ein Jahr hinter sich - eine gute Gelegenheit zum Rückblick. Aus meiner Sicht fällt dieser leider negativ aus… was vor allem an der sensiblen Thematik sowie der persönlichen Konstellation liegt:

Als Mitglied des Security Teams habe ich Zugang zu vielen interessanten Informationen, die aber nicht veröffentlicht werden können. Und dabei rede ich nicht von neuen, noch nicht behobenen Lücken, sondern vielmehr von Dingen wie aufkommenden neuen Feature-Ideen (bzw. Diskussionen darüber), umgekehrt aber auch über meiner Meinung nach wünschenswerte Security-Zusatzeigenschaften in Frontend wie Backend, und vieles mehr.

Ein Außenstehender könnte all das viel problemloser kommentieren, ich kann es eben nicht. Was bleibt? In letzter Zeit vor allem das nachträgliche Erläutern veröffentlichter Bulletins, auch dies naturgemäß nur “an der Oberfläche”. Spannender: Sonstige Hintergründe, z.B. in Interviews mit Leuten auch außerhalb des Security Teams. Wobei dies natürlich prümär von den Interviewpartnern abhängt, und trotz viel bekundeten Interesses haben die meisten dann doch nie Zeit für sowas. Auch dies liegt sicherlich - zumindest unter anderem - an der etwas sperrigen Thematik.

Der langen Rede kurzer Sinn: Ich habe mich entschieden, diesen Blog zunächst “auf Eis zu legen”, also nicht weiter zu füttern.

“Zunächst”? Man soll ja bekanntlich nie “nie” sagen… Vielleicht ändert sich die Situation ja irgendwann dahingehend, dass das Ganze besser funkioniert.

Bis dahin: Danke für’s Vorbeischauen, und “take care”!

P.S. Direkt zu Erreichen bin ich weiterhin auch über die naw.info Website bzw. die dort angegebene Email-Adresse.
Oder natürlich per Kommentar auf dieser Seite =)

Nicht nur hier im Blog, sondern überhaupt in der TYPO3 Security Szene scheint momentan vorweihnachtliche Besinnlichkeit eingekehrt zu sein: Keine Bulletins, relative Ruhe an der Hacker-Front, aber auch keine Verlautbarungen über Fortschritte z.B. in Sachen WAF oder Security in 4.2. Mein Eindruck ist, dass momentan überall der Jahresend-Stress dominiert. Dennoch tut sich hinter den Kulissen einiges Positives, ich hoffe das eine oder andere davon ist demnächst endlich öffentlich.

Abgesehen davon habe ich mit verschiedenen Leuten darüber diskutiert, an dieser Stelle nicht nur reaktiv zu berichten, sondern auch gelegentlich”Best Practices” zu Sicherheits-Themen darzustellen. Mit dem Ergebnis: Ja, es scheint wohl genug Interesse und auch Themen zu geben. Also geht das los! (more…)

Hallo allerseits! Wie schon angekündigt, möchten wir die gegenwärtigen und künftigen Hackerangriffe besser verstehen und zu diesem Zweck mit einen (perspektivisch: mehrere) Honeypot aufsetzen.

(more…)

Hallo und Willkommen auf der TYPO3 Security Blog Seite für alle interessierten Administratoren, Entwickler und Anwender!

Hier gibt’s Informationen zu Sicherheitsfragen rund um TYPO3 - Allgemeine Tipps ebenso wie Hintergründe zu konkreten Problemen, oder auch Diskussion von inhaltliche Neuerungen und Verbesserungen von TYPO3 und Extensions.

Überhaupt, Extensions: Die meisten TYPO3-Sites bestehen heute überwiegend aus “Dritt-Extensions”, die nicht Bestandteil des Kernprodukts sind. Von daher drehen sich viele Sicherheitsfragen eher um Erweiterungen als um den Kern. Diese sollen hier natürlich mitbetrachtet werden, ich versuche allerdings immer, die Einordnung klarzustellen…

Dieser Blog ist keine offizielle Veröffentlichung des TYPO3 Projekts oder des TYPO3 Security Teams.

Ekkehard Gümbel