Sicherheitshinweise zu Contao-Themes

[Nina]

Der Contao Theme-Manager bietet nicht nur die Möglichkeit, Themes einfach zu importieren und zu verwalten, sondern stellt bedingt durch den Aufbau eines Theme auch einen möglichen Angriffspunkt für Hacker dar. Beachten Sie daher beim Theme-Import unbedingt die folgenden Sicherheitshinweise.

Das Grundproblem

Ein Theme besteht in der Regel aus Datenbankeinträgen und Dateien aus dem Upload- bzw. dem templates-Verzeichnis. Beim Import eines Themes werden also Dateien auf Ihren Server übertragen, die theoretisch Schadcode enthalten können. Speziell Templates sind in Contao echte PHP-Dateien, in denen sämtliche PHP-Funktionen uneingeschränkt verwendet werden können!

Ein Theme prüfen

Obwohl Theme-Dateien die Endung .cto haben, handelt es sich dabei um normale ZIP-Archive, die Sie nach dem Download einfach auf Ihrem lokalen Rechner entpacken können, um die enthaltenen Dateien zu prüfen. Achten Sie besonders darauf, dass das Upload-Verzeichnis (tl_files) keine PHP-Dateien enthält und prüfen Sie gegebenenfalls den Inhalt der mitgelieferten Template-Dateien.

Um sicher zu gehen empfehlen wir, nur Themes von vertrauenswürdigen Herstellern zu installieren. Dazu zählen u.a. die Contao-Themes von iNet Robots, die Themes, die im Rahmen des "Free Themes Month" auf contao.org zum Download angeboten werden, sowie Themes, die im Forum mit einem Verweis auf diesen Sicherheitshinweis angeboten werden und von anderen vertrauenswürdigen Nutzern überprüft wurden.
Angriff von innen

Neben dem offensichtlichen Angriff von außen, bei dem ein Angreifer versucht, Sie zur Installation eines schädlichen Theme zu bewegen, können Themes auch von vermeintlich vertrauenswürdigen Backend-Benutzern dazu verwendet werden, beliebigen PHP-Code auszuführen und sich z.B. Administratorrechte zu verschaffen. Achten Sie daher darauf, wem Sie Zugriff auf das Themes-Modul geben!

Verbesserungsvorschläge

Zunächst sei gesagt, dass sich das Problem nicht dadurch lösen lässt, dass man Dateien und Templates vom Theme-Import ausschließt. Es dürfte jedem klar sein, dass diese Ressourcen untrennbar mit einem Theme verbunden sind und es essentiell ist, diese mit exportieren bzw. importieren zu können. Auch gibt es keine Möglichkeit, Themes automatisiert zu prüfen, da die Palette der Angriffsvektoren riesig und die Möglichkeiten, Schadcode zu tarnen, nahezu grenzenlos sind. Eine Diskussion in diese Richtung können wir uns also sparen.

Darüber hinaus sind jedoch alle Ideen und Anregungen willkommen, die zur Verbesserung der Sicherheit beim Theme-Import beitragen können. Bitte postet eure Beiträge im Contao-Forum, damit wir diese mit der ganzen Community diskutieren können.

Nachtrag vom 17.07.2010

Das oben beschriebene Problem ist keinesfalls auf Contao-Themes beschränkt. Es gilt genauso für Third-Party-Erweiterungen und somit auch für alle anderen Content Management Systeme, die über eine Erweiterungsverwaltung verfügen. Genau genommen gilt es für jeden Softwaredownload aus dem Internet und für jeden E-Mail-Anhang, der von einem unbekannten Absender stammt. Wann immer Sie externe Dateien importieren, egal ob in Contao, in einem anderen CMS oder auf Ihren Rechner, sollten Sie die deren Inhalt und die Vertrauenswürdigkeit des Erstellers prüfen.