Uwaga! Od sierpnia 2017 forum jest w trybie tylko do odczytu.

Dlaczego? Dlatego, że społeczność TYPO3 przeniosła się na slack'a i stackoverflow:
  • Przeczytaj artykuł wprowadzający do slacka, w którym dowiesz gdzie i jak się zarejestrować.
  • Jeżeli masz pytania odnośnie Polskiej Społeczności TYPO3 zapraszamy na kanał slack'a #community-pl. Rozmawiamy tam w języku polskim.
  • Pytania dotyczące samego TYPO3 zadawaj po angielsku na stackoverflow oznaczając je tagiem "typo3". Następnie posługując się linkiem do tego pytania postaraj się zachęcić ludzi z kanału slack'a #typo3-cms lub bardziej pasujących kanałów tematycznych, żeby na nie odpowiedzieli.
  • Możesz też oczywiście zadawać pytania na slacku bez zakładania wątków na stackoverflow, ale wówczas wiedza ta nie jest indeksowana przez googla i część osób nie będzie chciała Ci z tego powodu pomagać.
  • Dla części osób dzielących się wiedzą ważne jest też budowanie reputacji na stackoverflow. Jest to kolejny powód dla którego powinieneś zadawać pytania na stackoverflow by zwiększyć swoje szanse na znalezienie odpowiedzi. Pamiętaj, żeby oceniać odpowiedzi!
Forum » TYPO3 » Ogólne
Tematy bez nowych odpowiedzi

Zalecenia OWASP a TYPO3 4.5


Autor Wiadomość
Napisane: 19.03.2012 [09:54]
sim_co
Twórca tematu
zarejestrowany: 18.02.2010
Posty: 168
Witam,

Spotkał się ktoś kiedyś z 'OWASP Secure Coding Practices' (w załączniu plik, albo https://www.owasp.org/images/0/08/OWASP_SCP_Quick_Reference_Guide_v2.pdf) ? Pytanie o możliwość wdrożenia tych praktyk do TYPO3. Analizując 'na szybko' mam przeczucie, że niektóre z tych zaleceń wymagało by ingerencję w jądro systemu.

Wypiszę po krótce te kwestie - znalezione po przeglądnięciu - których wdrożenie wg mnie mogło by być problemowe:

Authentication and Password Management:

1. Enforce password length requirements established by policy of regulation. Eight characters is commonly used, but 16 is better or consider the use of multi-word pass pharses

TYPO3 nie wymaga co najmniej ośmiu znaków z haśle.

2. Enforce account disabling after established number of invalid log in attempts (e.g., five attempts id common.) The account must be disabled for a period of time sufficient to discourage brut force guessing of credentials, but no so long as to allow for a denial-of-service attack to be performed.

TYPO3 czasowo nie blokuje dostępu dla użytkownika do panelu administracyjnego przy określonej próbie nieudanych logowań.

3. The last use (successful or unsuccessful) of user account should be reported to the user at their next successful login

TYPO3 nie wyświetla takich informacji

4. Re-authenticate users prior to performing critical operations.

TYPO3 nie wymaga ponownego podania hasła przy próbie wykonania jakiejkolwiek operacji.

Database Security

1. Connection strings sholud not be hard coded within the application. Connection strings sholud be stored in a separate configuration file on trusted system and they should be encrypted.

Głównym plikiem konfiguracyjnym TYPO3 jest plik localconf.php - dane takie jak host, nazwa bazy, user i hasło są w nim zapisane w postaci niezaszyfrowanej.

2. The application should connect to the database with different credentials for every trust distinction ...

Aplikacja FE, czy BE łączy się z bazą danych, 'korzystąjąc' z tego samego użytkownika

File Management

1. Require authentication before allowing a file to be uploaded

Niektóre formularze w rozszerzeniach nie wymagają logowania, a uploadują pliki.

2. Do not save files in the same web context as the application. Files should either go to the content server or in the database

Pliki od użytkowników zapisywane są na tym samym serwerze co aplikacja.



Jak ktoś mógłby się do tego odnieść, to byłbym wdzięczny.
Pozdrawiam.

[Ten temat był edytowany 2 razy. Ostatnio 19.03.2012 o 14:35.]

simcode.pl
Załącznik

Napisane: 25.03.2012 [12:22]
kss
zarejestrowany: 19.07.2007
Posty: 1341
"sim_co" napisał/a

1. Enforce password length requirements established by policy of regulation. Eight characters is commonly used, but 16 is better or consider the use of multi-word pass pharses

TYPO3 nie wymaga co najmniej ośmiu znaków z haśle.


ext: cl_beuser_password, be_secure_pw


"sim_co" napisał/a

2. Enforce account disabling after established number of invalid log in attempts (e.g., five attempts id common.) The account must be disabled for a period of time sufficient to discourage brut force guessing of credentials, but no so long as to allow for a denial-of-service attack to be performed.

TYPO3 czasowo nie blokuje dostępu dla użytkownika do panelu administracyjnego przy określonej próbie nieudanych logowań.


ext: wrg_anotherbelogin


"sim_co" napisał/a

3. The last use (successful or unsuccessful) of user account should be reported to the user at their next successful login

TYPO3 nie wyświetla takich informacji

4. Re-authenticate users prior to performing critical operations.

TYPO3 nie wymaga ponownego podania hasła przy próbie wykonania jakiejkolwiek operacji.


Nie ma takiej opcji.


"sim_co" napisał/a

Database Security

1. Connection strings sholud not be hard coded within the application. Connection strings sholud be stored in a separate configuration file on trusted system and they should be encrypted.

Głównym plikiem konfiguracyjnym TYPO3 jest plik localconf.php - dane takie jak host, nazwa bazy, user i hasło są w nim zapisane w postaci niezaszyfrowanej.

2. The application should connect to the database with different credentials for every trust distinction ...

Aplikacja FE, czy BE łączy się z bazą danych, 'korzystąjąc' z tego samego użytkownika


Zgadza się. Możesz jednak zrobić tak, że masz dwie instalacje TYPO3 (klony). Jedną dla frontendu drugą dla backendu. W każdej z tych instalacji masz innych userów bazodanowych. Na tej instalacji frontendowej naturalnie maksymalnie okrojonego z możliwoscią zapisu tylko do tabel cachowych i bez możliwości zmian (i nawet logowania) z poziomu BE. Natomiast na tej instalacji służącej do edycji danych jest standardowy user bazodanywy - dostęp do takiego serwera może też być okrojony przez IP itp. Do tego skrypt synchronizujący te dwie instalacje. Takie podejście stosowała firma wybrana w Słowenii do realizacji w TYPO3 wszystkich serwisów administracji publicznej.

"sim_co" napisał/a

File Management

1. Require authentication before allowing a file to be uploaded

Niektóre formularze w rozszerzeniach nie wymagają logowania, a uploadują pliki.

Które dla przykładu? Mówisz o BE czy FE ?

"sim_co" napisał/a

2. Do not save files in the same web context as the application. Files should either go to the content server or in the database
Pliki od użytkowników zapisywane są na tym samym serwerze co aplikacja.

Są specjalne rozszerzenia, które zapisują pliki w bazie danych. Poszukaj w TER słowa "secure". Możesz też stworzyć taką aplikację FE/BE, która będzie zapisywała na serwarach zewnętrznych.





=======================================
t33k
Napisane: 05.04.2012 [13:07]
sim_co
Twórca tematu
zarejestrowany: 18.02.2010
Posty: 168
Dzięki za odpowiedzi i poświecony czas.

simcode.pl