Contao-Camp 2024
Ergebnis 1 bis 2 von 2

Thema: Wichtige Infoquellen rund um Sicherheit und Contao

  1. #1
    Administrator Avatar von Nina
    Registriert seit
    04.06.2009.
    Ort
    Hamburg
    Beiträge
    4.755
    Contao-Projekt unterstützen

    Support Contao

    Standard Wichtige Infoquellen rund um Sicherheit und Contao

    Da die Infos zum Thema für meinen Geschmack zu weit verstreut sind, habe ich heute dieses Sicherheitsforum eingerichtet und sammle auch hier gleich ein paar wichtige Basisinfos:

    Grundvorausssetzungen für Sicherheit mit Contao
    Bitte achtet darauf, dass eure Contao-Websites diese Grundvoraussetzungen erfüllen:

    • Eure Contao-Installation ist aktuell (nach Erscheinen zeitnah Updates machen!).
    • Es besteht ein aktives und sicheres SSL-Zertifikat (kein Zertifikat mit unsicherem RC4-Algorithmus).
    • Der Webspace ist so eingestellt, dass er SSL erzwingt, also auch automatisch umleitet, wenn ein Aufruf über http kommt.
    • Es gibt nur so viele Backend-Zugänge mit Administratorrechten wie unbedingt notwendig.
    • Die Zugänge mit Adminrechten sind aktiv, also keine uralten Leichten die schon an X Agenturen/Personen weitergegeben wurden.
    • Die genutzten Passwörter sind möglichst einzigartig und entsprechen dem, was man unter einem sicheren Passwort versteht.
    • Idealerweise nutzt ihr für Contao-Adminzugänge, Contao-Manager und Contao-Install jeweils unterschiedliche Passwörter.
    • Ebenso habt ihr für FTP, SSH und Datenbankzugänge jeweils eigenständige, sichere Passwörter.


    Ergänzende Tipps:
    • Wenn ihr im Frontend einen geschützten Mitgliederbereich oder Shop habt, gebt ihr den Nutzern Infos dazu, wie sie sich ein sicheres Passwort erstellen können (was ein sicheres Passwort ausmacht).
    • Informiert eure Nutzer während oder kurz nach der Registrierung - im unmittelbaren Umfeld der Registrierung - woran sie Phishing-Angriffe rund um eure Seite erkennen und vermeiden können. Zitat BayLLD (PDF) "Es wäre daher wichtig, den Nutzer hinsichtlich bekannter und aktuell laufender Angriffsarten zu informieren, so dass die Wahrscheinlichkeit sinkt, dass der Nutzer auf die Betrugsmasche hereinfällt."
    • Stellt den Nutzern gut auffindbar Informationen zu Fragen rund um die Account-Sicherheit bereit, also z.B. was sie tun sollen wenn vermutlicj der Account des Nutzers von einem Unbefugten übernommen wurde.


    Sicherheitslücken melden

    Zitat von: https://contao.org/de/support.html:
    Sicherheit hat für Contao oberste Priorität. Bitte helfen Sie uns dabei, das System sicherer zu machen! Sollten Sie eine Sicherheitslücke entdeckt haben oder sich im Unklaren darüber sein, ob es sich womöglich um eine handeln könnte, dann schreiben Sie eine Mail an security@contao.org.

    Machen Sie bitte niemals Informationen zu einer Sicherheitslücke öffentlich zugänglich (Blog-Beiträge, Tweets, GitHub Issues etc.), bevor diese anerkannt und in einem neuen Release von Contao behoben wurde.

    Die Contao Association belohnt die Finder bestätigter Sicherheitslücken im Rahmen ihres Bug Bountry-Programms mit einer Prämie in Höhe von 100,- Euro.
    Offizielle Infos zu Sicherheitslücken, Patches, etc.

    In den offiziellen Contao-Ankündigungen wird auf aktuelle Contao-Sicherheitslücken, Patches, kommende Updates etc. hingewiesen:
    https://contao.org/de/news.html

    RSS-Feed der offiziellen Conta-Ankündigungen:
    view-source:https://contao.org/share/news-de.xml

    Die Einträge der offiziellen Contao-Ankündigungen erscheinen auch automatisch hier im ersten Forum der Contao-Community.
    https://community.contao.org/de/foru...ungen-Hinweise

    Weitere relevante Links

    Contao-Wiki „Was tun, wenn meine Contao-Seite gehackt wurde?“
    http://de.contaowiki.org/Contao_gehackt

    Security Newsletter der Contao Community Alliance (weiß aber nicht, ob der aktuell gepflegt wird, daher IMMER selbst die Contao-News lesen!):
    https://c-c-a.org/aktuelles/security-newsletter

    Authentifizierungstatus und die Rechte eines Benutzers in einer eigenen Contao-Erweiterung prüfen:
    https://docs.contao.org/books/cookbo...epruefung.html

  2. #2
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    33.897
    Partner-ID
    10107

    Standard

    Was in diesem Zusammenhang auch noch interessant ist - die Contao Managed Edition fügt folgendes als require-dev hinzu: https://github.com/contao/managed-ed...poser.json#L26
    Code:
    "sensiolabs/security-checker": "^5.0"
    Damit könnt ihr mit einem Kommando prüfen, ob eines der in der composer.lock vorhandenen Pakete eine bekannte Sicherheitslücke hat:
    Code:
    vendor/bin/security-checker security:check
    Schlägt der Security Check fehl wird außerdem ein anderer Status Code zurückgegeben - wodurch Deployment Programme wie bspw. Magallanes den Deployment Vorgang abbrechen würden, wenn man das in die automatische Deployment Prozedur mit aufnimmt.

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •