Bezpečnosť a Typo3

Ak používate stránky postavené na Typo3, tak si pozrite tento článok o aktuálnom stave bezpečnosti webov na Slovensku ktoré používajú toto riešenie - http://www.webosec.com/bezpecnost-cms-typo3/. Neviem ako je to z českými webmi ale na Slovensku to dopadlo dosť zle. Nie je to chyba samotného CMS ale chyba vlastníkov a hlavne prevádzkovateľov webu. Nie je tam presný návod ako bol útok urobený ale už len výsledky ktoré sa dajú publikovať. Aj tu na webtrhu sú užívatelia ktorých sa to dotýka :)

Napsal rajo;391006

Ak používate stránky postavené na Typo3, tak si pozrite tento článok o aktuálnom stave bezpečnosti webov na Slovensku ktoré používajú toto riešenie - http://www.webosec.com/bezpecnost-cms-typo3/.

Neviem ako je to z českými webmi ale na Slovensku to dopadlo dosť zle. Nie je to chyba samotného CMS ale chyba vlastníkov a hlavne prevádzkovateľov webu.

Několik poznámek: u čísel se uvádí zdroj/metodika - Typo3 jako třetí nejpoužívanější CMS (při složitosti Typo 3) mi přijde jako naprostý blábol (obzvláště pokud by třetí nejpoužívanější CMS na Slovensku měl mít 800 instalací). Jak ohrožuje bezpečnost, že najdeš někde PhpMyAdmin, když nemáš hesla? Podle mě bezpečnost ohrožují u webhostingu úplně jiné věci...

Napsal rajo;391006

Nie je tam presný návod ako bol útok urobený ale už len výsledky ktoré sa dajú publikovať. Aj tu na webtrhu sú užívatelia ktorých sa to dotýka :)

Nie je tam nič. Tedy, je tam hodně slov, ale málo skutečného obsahu, nic proti ;) .

Napsal karel.kohout;391076

Několik poznámek: u čísel se uvádí zdroj/metodika - Typo3 jako třetí nejpoužívanější CMS (při složitosti Typo 3) mi přijde jako naprostý blábol (obzvláště pokud by třetí nejpoužívanější CMS na Slovensku měl mít 800 instalací).

Metodiku neuvádzam pretože článok nebol o tom. Ak by si si bol prečítal exploit (Critical ) na stránke Typo3 tak by si vedel že zobrazuje konfiguračný súbor, útočník má meno a heslo do databázy, má MD5 hash pre konfiguračné rozhranie a veľa ďalších zaujímavých informácií. Určite uznáš že napísať postup ako sa k tomu dopracovať step-by-step nie je rozumné, musí to byť len informačné. Čo sa týka poradia, tak sú to opensource CMS (napísal som to tam ale asi nie dosť zrozumiteľne). Slovenský doménový priestor sa nedá zrovnávať z českým prostredím, je to veľmi odlišné (už len podľa počtu domén ktoré sú registrované), takže blábol to nie je. Bral som len domény druhého rádu bez subdomén (tam je už číslo samozrejme iné).

Napsal karel.kohout;391076

Jak ohrožuje bezpečnost, že najdeš někde PhpMyAdmin, když nemáš hesla? Podle mě bezpečnost ohrožují u webhostingu úplně jiné věci...

Opäť je to problém daného exploitu, ja tie heslá viem :), preto je to z tohto pohľadu mimoriadne nebezpečné.

Napsal karel.kohout;391076

Nie je tam nič. Tedy, je tam hodně slov, ale málo skutečného obsahu, nic proti ;) .

Nebolo mojím zámerom zverejniť dotknuté weby ale poukázať na to aký je stav. Všetko mám podložené logmi... takže nie sú to prázdne reči. Ďakujem za názor.

Drupal rox, Typo sux!