TYPO3-Scout

Und wieder etwas neues aus der TYPO3-Welt. Nach FLOW3 steht seit gestern auch die neuste Version 4.6 von TYPO3 zum Download bereit. Die bereits angekündigten Änderungen und neuen Funktionen können nun also ausführlich getestet werden.

Die Arbeit mit TYPO3 sollte nun deutlich performanter werden, da das Caching-Framework nun per default in der neuen TYPO3-Instanz aktiviert ist und für mehr Leistung sorgt. Dies geschieht durch unmittelbaren Zugriff des TYPO3-Cores auf den Cache. Diese Standardisierung ermöglicht Entwicklern einfachere Optimierungsvorgänge. Die Systemextensions Extbase und Fluid wurden aktualisiert und verbessert, der neue XLIFF-Standard soll die Übersetzungsarbeit deutlich erleichtern. Interessant für Redakteure wird auch die Arbeit mit dem neuen Formular Inhaltselement. Dieses soll eine Formularerstellung mittels Drag & Drop sowie WYSIWYG-Editor ermöglichen und somit die Arbeit im Backend weiter erleichtern.

Trotz der gewohnten Betonung auf Rückwärtskompatibilität wird empfohlen die standardmäßig installierten Extensions saltedpasswords und rsaauth bei Updates manuell zu installieren, da sonst Komplikationen auftreten könnten. Ebenso sollte beachtet werden, dass mit dem Erscheinen von TYPO3 4.6 auch der Support zu TYPO3 4.3 beendet wird.

Für weitere Informationen sollten wie immer die Release Notes beachtet werden.

Auch für das Flagbit-Team war die T3Con2011 in Hanau natürlich ein Pflichttermin. Während das TYPO3-Team sich selbstverständlich an allen Tagen präsentierte, zeigte der Rest der Mannschaft vor allem beim Social Event am Freitagabend vollen Einsatz. Erwartungsmemäß gab es einige interessante Neuigkeiten rund um TYPO3.

Neben den Ankündigungen, dass typo3.org bald in einem neuen Gewand präsentiert wird und eine neue Version von TYPO3 4.6 erscheint, stand natürlich vor allem die Bekanntmachung des Startes von FLOW3 für den 20.Oktober diesen Jahres durch Chefentwickler Robert Lemke im Mittelpunkt. Flagbit konnte sich auf einer FLOW3-Schulung in Zürich vor kurzem über die Möglichkeiten des mächtigen Frameworks informieren, daher sind wir sehr auf den Start von FLOW3 gespannt. Dies war dementsprechend das meistdiskutierte Thema bei den vielen Gesprächen mit Fachleuten aus der CMS-Welt im Rahmen der T3CON. Ebenso wurde das unter dem Codenamen “Phoenix” entwickelte und auf FLOW3 basierende TYPO3 5.0 von vielen Speakern aufgegriffen und anschließend unter den Teilnehmern kontrovers besprochen. Doch auch sonst gab es wieder einige nette Gelegenheiten mit anderen Entwicklern und TYPO3-Interessierten ins Gespräch zu kommen und sich mit Gleichgesinnten auszutauschen.

In der entspannten Atmosphäre des Social Events sorgte dann passenderweise “Phoenix Disco” für die musikalische Untermalung, die bereits letztes Jahr auf der T3CON11 vertreten waren. Wir danken den Organisatoren für ein tolles Event für das wir im Verhältnis gar nicht so weit fahren mussten und freuen uns bereits auf nächstes Jahr!

Eines der größten Themen im Jahr 2011 für die digitale Gesellschaft ist das Problemfeld Sicherheit im Netz. Spektakuläre Fälle wie die Angriffe auf Sony oder die Aktivitäten der Gruppierung „Anonymous“ finden in der Presse Beachtung und stoßen bei vielen Webseitenbetreibern auf großes Echo. Daher steht diese Thematik auch innnerhalb der TYPO3 Community in der Diskussion. Bei den Betreibern der Webseiten herrscht derzeit zumeist Verunsicherung vor und viele stellen sich die Frage, wie sicher denn Ihre Webseite sei. Als TYPO3-Dienstleister können wir in jedem Fall nur raten, sowohl TYPO3 als auch die installierten Extensions immer auf dem neusten Stand zu halten und sich per typo3.org oder TYPO3 Announce Mailing List stets über aktuelle Probleme zu informieren. Da diese Ratschläge aber vielen als zu allgemein gelten, wollen wir hier ein paar Empfehlungen des TYPO3-Cookbooks darstellen, die, sofern befolgt, die TYPO3-Instanz gleich sicherer machen.

• Installationstool sichern: Das Installationstool sollte nach Gebrauch entweder deaktiviert oder gleich das ganze Verzeichnis entfernt werden. Alternativ kann man auch den Zugriff per .htacess auf bestimmte Hosts, Netzwerke oder Domains beschränken.
• Admin Password/Namen: Was auch für andere Netzwerke gilt, sollte auch bei der Verwaltung von TYPO3-Instanzen gelten: Das Admin-Password sollte sofort nach der Einrichtung geändert werden. Noch sicherer wird das ganz natürlich, wenn der default-Admin durch neue, personalisierte Admin-Nutzer ersetzt wird.
• Keine Demo Packages für Live-Systeme nutzen: Diese Packages sind wie der Name eigentlich schon sagt nur zum Testen gedacht.
• Rechtevergabe im Datei System: Beachten, wer welche Rechte bekommt, lieber sparsam verteilen. Auf jeden Fall User Accounts kein Schreibrecht auf Webservern geben.
• Unnötigen Code und Extensions entfernen: Wirklich nur das lassen, was wirklich gebraucht wird, um keine unnötige Angriffsfläche zu bieten.
• Sicherheitsoptionen: TYPO3 bietet einige Sicherheitsoptionen. Hier sind nur wenige allgemeingültige Aussagen möglich (bspw sollte in jedem Falle der der EncryptionKey gesetzt werden), je nach System sind aber unterschiedliche Parameter hilfreich.

Mit rechtzeitigen Updates halten Sie Ihr TYPO3 vor Angriffen verschlossen.

Das Kochbuch hält noch weitere Tipps parat, aber die hier genannten sind auf jeden Fall die wichtigsten, um für ausreichende Sicherheit im TYPO3-System zu sorgen.

Um auf eventuelle Angriffe reagieren zu können ist es des Weiteren natürlich wichtig, immer Backups zu erstellen, am besten vom kompletten System, aber zumindest von allen Dateien im root. Ebenso sollten die Logs gespeichert werden, um eventuelle Schwachstellen zu erkennen und den oder die Angreifer ausfindig machen zu können.

Sofern es tatsächlich mal zu einem Angriff kommt und Sie erkennen diesen, sollten die betroffenen Webseiten oder gar die ganzen Server vom Netz genommen werden, bevor sich Viren und Co. noch weiter verbreiten. Danach kann in Ruhe eine saubere Version eingespielt werden. Mit den mitgespeicherten Logs kann man den Angriff analysieren. Viel wichtiger als das Erkennen der Angreifer ist dabei das Erkennen der Schwachstellen. Liegt diese im TYPO3 Core oder bei Extensions, sollte in jedem Falle das TYPO3 Security Team informiert werden.

Steffen Heim hat auf dem Usability-Blog einen Beitrag über die verschiedenen Zugangsmöglichkeiten zu Informationen geschrieben und sich dabei die Webseite, mobile Webseite und die Smartphone App des Radiosenders ffn als Beispiel aufgegriffen. Da zumindest die beiden erstgenannten von uns realisiert wurden, war das Ganze natürlich für uns von ganz besonderem Interesse.

Umso mehr freut es uns, dass Steffen Heim ein positives Fazit für die Projekte gezogen hat. Vor allem Übserichtlichkeit und Bedienbarkeit hebt er als gelungen hervor. Allerdings zeigt er auch noch 1,2 Verbesserungsmöglichkeiten gerade im Bereich mobile Seiten auf, die wir für dieses und weitere Projekte in der Zukunft natürlich im Hinterkopf behalten werden.

Wer TypoGento verwendet oder verwenden möchte und dabei eine neue TYPO3-Version einsetzt, erhält bei der aktuellen Version einen Fehler. Der Fehler tritt bei allen TYPO3-Versionen auf, welche nicht mehr von der Sicherheitslücke TYPO3-CORE-SA-2011-001 betroffen sind.

Der Grund für den nun auftretenden Fehler ist ein deutlich vorgezogenes Starten der PHP-Session, wenn ein Benutzer eingeloggt ist. Dieses vorgezogene Starten der Session war für das Beheben der Sicherheitslücke entscheidend. Die Fehlermeldung, welche ein Webseiten-Besucher zu sehen bekommt ist die Folgende:

Fatal error: Mage_Core_Model_Session_Abstract::getMessages() [mage-core-model-session-abstract.getmessages]: The script tried to execute a method or access a property of an incomplete object. Please ensure that the class definition "Mage_Core_Model_Message_Collection" of the object you are trying to operate on was loaded _before_ unserialize() gets called or provide a __autoload() function to load the class definition in /.../magento/app/code/core/Mage/Core/Model/Session/Abstract.php on line 215

Der Fehler tritt auf, weil TypoGento für das Laden von Magento-Klassen den Magento-Autoloader entfernt und gegen einen eigenen Autoloader ersetzt. Dass passiert bei Rendern des Plugin-Codes.

TypoGento- Logo

Magento speichert PHP-Objekte serialisiert in der Session. Wenn die Session gestartet wird, werden diese Objekte wieder deserialisiert. Das klappt aber nur, wenn der Autoloader von TypoGento bereits registriert ist. Bisher war das der Fall. In den neueren TYPO3-Versionen wird die Session aber deutlich früher wieder hergestellt und der Autoloader ist noch nicht ausgetauscht bzw. registriert. Somit kommt es zu der o.g. Fehlermeldung.

Um mit dem geändertem Session-Handling umgehen zu können, haben wir einige Punkte in TypoGento refactored. Allerdings wird TypoGento nun nur noch mit TYPO3 4.3 und neuer funktionieren. Wer einen ersten Entwicklungsstand ausprobieren möchte, kann sich auf GitHub (https://github.com/Flagbit/TypoGento) den Branch “beta” downloaden. Für Feedback sind wir selbstverständlich dankbar.

Betroffen sind im Übrigen die TYPO3-Versionenen 4.3.12 und neuer, 4.4.9 und neuer sowie 4.5.4 und neuer. Somit sind also auch alle aktuellen TYPO3-Versionen betroffen.