Für alle, die OpenID schon kennen, ist dies sicherlich eine gute Nachricht. Für alle anderen hier in aller Kürze, worum es geht: OpenID ist ein Single Sign-On Mechanismus, mit dem der Benutzer sich nicht mehr auf jeder Website einen neuen Account mit Kennwort anlegen muss. Stattdessen kann er (wenn die Site OpenID unterstützt) einfach auf eine an anderer Stelle verwaltete Identität seiner Wahl verweisen, von wo auch etwaige Benutzerdaten wie Vorname, Nachname, etc. übernommen werden können. Und generell verwendet er beim Besuch der Website nicht mehr Benutzername/Kennwort, sondern gibt nur noch seine OpenID-Identität an. Fertig, eingeloggt. (Na ja, stark verkürzt. Eine ausführlichere Einführung gibt’s zum Beispiel bei Wikipedia.)

Die Extension ist natürlich noch im Beta-Stadium, wartet aber bereits mit vollwertiger Funktionalität auf. Noch nicht verfügbar ist übrigens die Option des Backend-Login per OpenID, ich hoffe das können wir bald nachlegen!

Das Funktionsprinzip ist so einfach wie nützlich: Serverbetreiber bekommen einen einfachen Weg zur Installation der WAF und werden mit einem Basis-Regelwerk versorgt, das sie unverändert verwenden oder durch eigene Regeln ersetzen bzw. ergänzen können.

Der Clou: Sollte ein neues Sicherheitsloch in TYPO3 oder in einer TYPO3-Extension auftauchen, so wird gleichzeitig mit dem Security Bulletin auch der zugehörige Regelsatz bereitgestellt, der das Ausnutzen der Verwundbarkeit unterbindet. Dies ist insbesondere für TYPO3-Hoster von großem Wert, die viele Instanzen auf ihren Servern betreiben und nur schwer sicherstellen können, dass alle betroffenen Installationen sofort gefixt werden (und dass auch später die verwundbare Version nicht wieder auftaucht.)

Klar ist auch, dass das Security Team damit zusätzlichen Aufwand auf sich nimmt – immerhin müssen neue Regeln nicht nur entwickelt, sondern vor Bereitstellung auch intensiv getestet werden.

In jedem Fall ein Super-Service!

Als weiterer sehr nützlicher Effekt wird erhofft, dass Betreiber von TYPO3-WAFs ihre mod_security Logfiles zur Verfügung stellen – ein optionaler, automatisierter Mechanismus hierfür ist ebenfalls in Vorbereitung. Das Ergebnis wäre ein riesiges Monitoring-System, dass Häufungen illegaler Zugriffstypen erkennen lässt und so z.B. neue Zero-Day-Exploits aufdecken würde.