TYPO3-Camp München 2011, Tag 2, Teil 2 #t3cm11

|

Zweiter Teil des Berichtes vom Tag 2 im Münchener TYPO3-Camp.

Um 14 Uhr nach dem Mittagessen ging es weiter.

Session „Kundenerziehung“

Referent Patrick Lobachers Vortrag drehte sich rund um die Beziehung zwischen Dienstleistern und Kunden. Nicht immer läuft die Kommunakation zwischen beiden Parteien so ab, wie man sich das vorstellt. Er gab anhand der Vorgehensweise in seiner Agentur ein paar Tipps und Tricks für eine erfolgreiche Kundenbeziehung.

Sehr interessant und vor allem kurzweilig vorgetragen.

Session „TYPO3 4.6 und 4.7“

Referent Oliver Hader gab einen sehr interessanten Ausblick auf die kommenden TYPO3-Versionen.
Zuerst gab es allerdings einen kurzen Überblick über TYPO3 4.5 LTS. Besondere Features sind z.B. die aktive Fehlerbehebung und Abwärtskompatibilität. Für diese Version wird es bis 2014 Support geben.

TYPO3 4.6

Version 4.6 bringt unter anderem auch Änderungen in den Systemvoraussetzungen:

  • PHP5.3
  • ImageMagick 6

Der Release ist für den 26.10.2011 geplant.

Weitere Merkmale der Version 4.6 sind die reduzierte Abwärtskompatibilität, sowie das Entfernen veralteter Funktionalitäten (deprecated).

Neue Features

  • XLIFF Support zur Lokalisierung
  • Neuer offener Translation Prozess, d.h., jeder kann Übersetzungen beisteuern (http://translation.typo3.org)
  • Minutengenaues Handling von vöffentlichungen (Start- / Stop-Zeitpunkt von Seiten oder Inhaltselementen)
  • Optimierte Backend Suche

Eine sehr interessante Neuerung ist der neue Formular-Assistent. Hier lassen sich per Drag’n Drop Formulare erstellen, außerdem gibt es ein neues FORM cObject, sodaß die Formulare weitgehend per Typoscript angepasst werden können. Was ich leider vergessen habe zu fragen ist, ob es die Möglichkeit gibt, mehrseitige Formulare zu erzeugen. Wenn ja, gäbe es wahrscheinlich keine Notwendigkeit mehr für Extensions wie PowerMail oder ähnliche.

TYPO3 4.7

Ein Schwerpunkt in Version 4.7 scheint auf der Barrierefreiheit im Frontend zu liegen. Die Ausgabe im Frontend soll BITV-konform sein und auf HTML5 basieren. Alle Inhaltselemente sollen barrierefrei ausgegeben werden.

Die Dateiverwaltung wird über eine Dateiabstraktionsschicht laufen, ähnlich wie man es aus der Extensions DAM bisher kennt. So können Dateien referenziert werden. Ebenso werden externe Speicherorte unterstützt, sodass Dateien zum Beispiel bei Amazon S3 oder auf flickr ausgelagert werden können.

Sehr interessant wird auch die TYPO3 Console sein. Hier erwartet den Anwender wohl eine ähnliche Funktionalität wie im Installtool, allerdings unabhängig von der TYPO3-Installation. Ich bin gespannt.

TYPO3 4.7 wird voraussichtlich im April 2012 erscheinen.

Session „TYPO3 Hacking“

In dieser Session ging es um die verschiedenen Möglichkeiten, wie eine TYPO3-Site gehackt werden kann.
Als erstes gab es aber mal grundlegende Informationen für den Fall, dass man auf eine Sicherheitslücke stößt. Diese sollte umgehend per Mail an das Security Team gemeldet werden (security@typo3.org).

Danach folgte ein kurzer Überblick über die verschiedenen Hackingmöglichkeiten wie XSS, SQLi und eine andere, deren Namen ich vergessen habe 😉

Interessant war dann eine Demonstration dieser Sicherheitslücken anhand einer Demo-Installation mit einer unsicheren Extension. Erschreckend, wie viele Infos über eine T3-Installation sich schlimmstenfalls herausfinden lassen.

Session „Website gehackt – was nun?“

Referent Jochen Weilands Vortag drehte sich um die Maßnahmen, die man durchführen kann, um das Hacken einer TYPO3-Site zu verhindern bzw. was man tun kann, wenn eine Seite bereits gehackt wurde.

Der wichtigste Punkt, den jeder TYPO3-Admin kennen und beherzigen sollte: die TYPO3-Installation und auch alle verwendeten Extensions sollten immer auf einem aktuellen Stand gehalten werden. Gerade bei Kundenprojekten ist es auch wichtig, den Kunden von der Notwendigkeit und den Kosten für die Wartung und für Updates zu überzeugen. Denn die Wiederherstellung einer gehackten Seite kann sehr schnell sehr teuer werden.

Hauptziel der meisten Hacking-Attacken sei es, Schadcode in die Datei index.php einzuschleusen. Da diese Datei bei jedem Seitenaufruf ausgeführt wird, bietet es sich für Hacker natürlich an, hier den Schadcode abzulegen.

Wie kommt der Code auf den Server?
Interessanterweise erfolgen 80% aller Angriffe per FTP. Wenn es den Hackern gelingt, Zugriff auf einen PC zu erlangen, auf dem FTP-Zugangsdaten gespeichert sind, steht Ihnen praktisch die Tür weit offen. Interessant und beunruhigend dabei ist, dass das weitverbreitete FTP-Programm Filezilla die Passwörter im Klartext auf der Festplatte speichert!

Auf Platz 2 folgend dann Angriffe über Sicherheitslücken.

Was tun, wenn die Seite gehackt wurde? Nicht nur gehackte Systeme bereinigen, sondern auch das Einfallstor herausfinden und beseitigen, z.B. über Server-Logs usw.

Was kann man tun?

  • Browser aktualisieren
  • Kein FTP verwenden, als alternative sFTP, besser nur mit Shellzugriff arbeiten
  • Passwörter nicht speichern, weder im Browser noch im FTP-Programm
  • TYPO3 und Extensions immer aktuell halten
  • Nicht benötigte Software und Extensions deinstallieren

Es gibt auch eine einfache Möglichkeit, über Updates auf dem laufenden zu bleiben. Einfach die TYPO3-Announce Mailingliste abonnieren unter http://lists.typo3.org

Zum Schluss wurde noch eine interessante Extension vorgestellt: checkmysite
Diese Extension überwacht die index.php und überprüft bei jedem Aufruf, ob fremder, schädlicher Code eingeschleust wurde. Wird ein Hack entdeckt, wird eine Email an eine einstellbare E-Mail-Adresse geschickt. Außerdem kann die Site in einen Offlinemodus geschaltet werden, oder man lässt den Besucher zu einer anderen URL umleiten, z.B. zu einer gespiegelten Site auf einem anderen Server.

Kleiner Nachteil dieser Extension: da sie bei jedem Seitenaufruf ausgeführt wird, entsteht so eine kleine Verzögerung bei der Auslieferung der Seiten. Jochen Weiland sprach von ca. 20 Milisekunden. Bei kleineren Seiten wird das kein Problem sein, nur bei wirklich großen Seiten mit tausenden Unterseiten und zigtausend Besuchern pro Tag kann das ein Performanceproblem werden.
Diese Extension werde ich mir aber auf jeden Fall mal genauer anschauen.

Der Abend

Der Tag klang gemütlich aus. Gemeinsam fuhren wir alle mit der U-Bahn ins Zentrum von München und gingen im Ratskeller essen. Dabei wurden die Kosten für das Essen vom TYPO3-Camp übernommen, nur die Getränke musste jeder selber zahlen.

Ich möchte mich auch hier mal bei den Sponsoren des Camps bedanken, ohne die das Camp wahrscheinlich nicht möglich gewesen wäre. Auch meinen Respekt an die Organisatoren, ihr leistet wirklich gute Arbeit!

Und jetzt gehe ich ins Bett und freue mich auf den morgigen Tag und die geplanten Sessions!

P.S.: Falls ich den einen oder anderen Punkt nicht ganz korrekt hier wiedergegeben habe, möge man mir das verzeihen und in den Kommentaren hier richtig stellen. Ich habe mir einerseits während des Sessions Notizen gemacht, andererseits kommen manche Infos nur aus meinem löchrigen Gedächtnis 😉

2 Gedanken zu “TYPO3-Camp München 2011, Tag 2, Teil 2 #t3cm11”

  1. hast du auch bilder machen können/dürfen? wird das backend bei typo3 4.7 verändert, oder ist diese konsole, von der du geschrieben hast, als modulpunkt angezeigt oder wie wird es realisiert?

Schreibe einen Kommentar

TYPO3 9 LTS Videotraining

Das Videotraining zu TYPO3 9 LTS

Momentan in Vorbereitung

Klicke hier für weitere Infos zum neuen Videotraining!

close-link
In Vorbereitung: Das Videotraining zu TYPO3 9 LTS
Hier klicken für mehr Informationen!
close-image

YouTube aktivieren?

Auf dieser Seite gibt es mind. ein YouTube Video. Cookies für diese Website wurden abgelehnt. Dadurch können keine YouTube Videos mehr angezeigt werden, weil YouTube ohne Cookies und Tracking Mechanismen nicht funktioniert. Willst du YouTube dennoch freischalten?