Meine neuesten Beiträge

Alle Beiträge von Daniel Klockenkämper

Sonarqube – Codequalität von TYPO3 Extensions automatisiert messen

Als Internetagentur, die einen ihrer Schwerpunkte auf TYPO3 setzt, entwickeln wir natürlich maßgeschneiderte TYPO3 Extensions, die den Anforderungen unserer Kunden entsprechen. Viele Standard-Aufgaben löst man allerdings schon mit den – inzwischen sehr vielfältigen – Boardmitteln von TYPO3.

Falls der TYPO3 Core mal nicht über die gewünschte Funktionalität verfügt, findet man meistens eine Lösung in Form einer Fremd-Extension im TYPO3 Extension Repository (TER). Falls einem bestimmte Aspekte in einer schon vorhandenen Extension fehlen, kann man diese lokal erweitern und durch eine Contribution in das Upstream Projekt allen anderen Benutzern der Extension ebenfalls zur Verfügung stellen. So kann man aufwändige Eigenentwicklungen vermeiden, außerdem will man ja auch nicht jedes mal das Rad neu erfinden.

MFC überwacht automatisiert Loginversuche per Graylog2

Bereits im letzten Jahr haben wir einen Artikel zur Absicherung des TYPO3 Backends durch die von uns erstellte Extension mfc_belogin_captcha veröffentlicht. Jedem, der diesen Artikel nicht gelesen hat, empfehle ich nochmal ausdrücklicherweise die Lektüre. Freilich gibt es noch TYPO3 Installationen, die diese Extension nicht installiert haben. Oft gibt es auf Websites auch noch andere passwortgeschützte Bereiche, die sensible Kundendaten oder ähnliches enthalten. Ein geglückter Zugriff eines Hackers kann hier schwerwiegende Folgen haben – vom Imageverlust des Website-Betreibers mal ganz abgesehen.

Eine sichere Kennwortspeicherung in Form eines „salted Hash“ und weitere Vorkehrungen sind natürlich obligatorisch – werden die Kennwörter von den Benutzern allerdings selbst gewählt, so sind auch die besten Sicherheitsvorkehrungen nur Makulatur. Ein unbedarft gesetztes Kennwort reicht dann in der Regel aus, sodass der Zugang per Bruteforcing unfassbar einfach ist.