In vielen Fällen betreiben entwickeln wir für unsere Kunden nicht nur die Webseiten, sondern betreiben sie auch. Wir sind also sowohl für die Einrichtung und die Wartung der TYPO3 Installation, als auch für die Wartung und den Betrieb der benötigten Server zuständig. Wir kennen also die Installation auf vielen Ebenen und sind auch auf allen Ebenen für die Sicherheit zuständig.
mfc_belogin-captcha: Sichere Backends seit 2015
Vor vielen Jahren haben wir das erste mal Brute-Force Attacken auf die TYPO3 Backends auf unseren Systemen gesehen und haben diese mit unserer Extension mfc_belogin_captcha abgesichert (https://extensions.typo3.org/extension/mfc_belogin_captcha). Aktuell steht die Extension für die TYPO3 Versionen 7 bis 10 auf Packagist zur Verfügung (https://packagist.org/packages/mfc/mfc-belogin-captcha). Eigentlich steht nun das Update der Extension auf Version 11 und die Adaption für Version 12 an. Eigentlich.
Denn am Wochenende bin ich über einen kurzen Artikel von Benni Mack gestoßen, welcher die neuen Methoden in TYPO3 11 beschreibt, wie man Brute-Force Attacken abwenden kann –https://b13.com/blog/limit-allowed-attempts-for-logins-in-typo3-v11. Die detaillierte Dokumentation dazu ist unter https://docs.typo3.org/c/typo3/cms-core/main/en-us/Changelog/11.3/Feature-93825-RateLimitingForFailedLogins.html zu finden.
Wir haben daraufhin uns noch einmal angeschaut, welche Attacken wir mit unserer be-login-captcha Extension mitigiert haben und geprüft, ob diese auch mit den neuen Core-Funktionalitäten auch mitigiert werden. Und das Ergebnis ist: Ja, werden sie. Unsere Extension wird nicht mehr gebraucht und wir können unsere Projekte ab TYPO3 11 schlanker aufbauen. Und als Bonus: Es wird kein externer Google Dienst mehr benötigt um ein Captcha zu integrieren, welches vor dem Hintergrund der DSGVO ja auch problematisch ist.
Time to say goodbye!
Wir werden also unsere Extension nicht mehr für TYPO3 11 weiterentwickeln und nur noch für die aktuellen TYPO3 Versionen Updates anbieten.
Wem der Schutz durch die eingebauten Rate Limits vom Core dennoch nicht ausreicht, dem empfehlen wir den Einsatz eine IP-Sperre für das TYPO3 Backend oder die Integration einer 2 Faktor-Authentifizierung für das TYPO3 Backend. Oder man koppelt das TYPO3 Login direkt mit einem OAuth-Provider – wie wir es bei all unseren Kunden machen.
Vielen Dank mfc_belogin_captcha! Du hast uns in vielen Jahren einige Hacker von unseren Systemen gehalten und wir konnten beruhigt schlafen.
Bildquellen
- be_login_captcha auf unserer Webseite: Bildrechte beim Autor
- pexels-monstera-5957128: Foto von Monstera von Pexels | CC 0
Über Ingo Schmitt
Spricht Typoscript, php, und sql. Perl und bash verhandlungssicher.Besitzt java Grundkenntnisse.
Ist als CTO in der Geschäftsleitung zuständig für Entwicklung und Betrieb und bloggt hier über alles was technisch interessant ist.
- Profile:
