Archiv des Monats September, 2011

Sicherheit bei TYPO3

Eines der größten Themen im Jahr 2011 für die digitale Gesellschaft ist das Problemfeld Sicherheit im Netz. Spektakuläre Fälle wie die Angriffe auf Sony oder die Aktivitäten der Gruppierung „Anonymous“ finden in der Presse Beachtung und stoßen bei vielen Webseitenbetreibern auf großes Echo. Daher steht diese Thematik auch innnerhalb der TYPO3 Community in der Diskussion. Bei den Betreibern der Webseiten herrscht derzeit zumeist Verunsicherung vor und viele stellen sich die Frage, wie sicher denn Ihre Webseite sei. Als TYPO3-Dienstleister können wir in jedem Fall nur raten, sowohl TYPO3 als auch die installierten Extensions immer auf dem neusten Stand zu halten und sich per typo3.org oder TYPO3 Announce Mailing List stets über aktuelle Probleme zu informieren. Da diese Ratschläge aber vielen als zu allgemein gelten, wollen wir hier ein paar Empfehlungen des TYPO3-Cookbooks darstellen, die, sofern befolgt, die TYPO3-Instanz gleich sicherer machen.

  • Installationstool sichern: Das Installationstool sollte nach Gebrauch entweder deaktiviert oder gleich das ganze Verzeichnis entfernt werden. Alternativ kann man auch den Zugriff per .htacess auf bestimmte Hosts, Netzwerke oder Domains beschränken.
  • Admin Password/Namen: Was auch für andere Netzwerke gilt, sollte auch bei der Verwaltung von TYPO3-Instanzen gelten: Das Admin-Password sollte sofort nach der Einrichtung geändert werden. Noch sicherer wird das ganz natürlich, wenn der default-Admin durch neue, personalisierte Admin-Nutzer ersetzt wird.
  • Keine Demo Packages für Live-Systeme nutzen: Diese Packages sind wie der Name eigentlich schon sagt nur zum Testen gedacht.
  • Rechtevergabe im Datei System: Beachten, wer welche Rechte bekommt, lieber sparsam verteilen. Auf jeden Fall User Accounts kein Schreibrecht auf Webservern geben.
  • Unnötigen Code und Extensions entfernen: Wirklich nur das lassen, was wirklich gebraucht wird, um keine unnötige Angriffsfläche zu bieten.
  • Sicherheitsoptionen: TYPO3 bietet einige Sicherheitsoptionen. Hier sind nur wenige allgemeingültige Aussagen möglich (bspw sollte in jedem Falle der der EncryptionKey gesetzt werden), je nach System sind aber unterschiedliche Parameter hilfreich.
Sicherheit TYPO3

Mit rechtzeitigen Updates halten Sie Ihr TYPO3 vor Angriffen verschlossen.

Das Kochbuch hält noch weitere Tipps parat, aber die hier genannten sind auf jeden Fall die wichtigsten, um für ausreichende Sicherheit im TYPO3-System zu sorgen.

Um auf eventuelle Angriffe reagieren zu können ist es des Weiteren natürlich wichtig, immer Backups zu erstellen, am besten vom kompletten System, aber zumindest von allen Dateien im root. Ebenso sollten die Logs gespeichert werden, um eventuelle Schwachstellen zu erkennen und den oder die Angreifer ausfindig machen zu können.

Sofern es tatsächlich mal zu einem Angriff kommt und Sie erkennen diesen, sollten die betroffenen Webseiten oder gar die ganzen Server vom Netz genommen werden, bevor sich Viren und Co. noch weiter verbreiten. Danach kann in Ruhe eine saubere Version eingespielt werden. Mit den mitgespeicherten Logs kann man den Angriff analysieren. Viel wichtiger als das Erkennen der Angreifer ist dabei das Erkennen der Schwachstellen. Liegt diese im TYPO3 Core oder bei Extensions, sollte in jedem Falle das TYPO3 Security Team informiert werden.

FLOW3-Schulung

Drei Flagbit-Mitarbeiter, Frederic Gaus, Andreas Bouche und Niki Müller, nahmen gestern an einer FLOW3-Schulung im wunderschönen, aber derzeit auch nicht gerade preiswerten Zürich teil. Die Veranstaltung wurde relativ kurzfristig von snowflakes productions organisiert, denen wir für die tolle Organisation sowie das interessante Event auch noch einmal Danke sagen wollten.

Unter anderem stellte TYPO 3 5- und FLOW3-Chefentwickler Robert Lemke das mächtige Framework vor, dessen Ausführungen die Teilnehmer begeisterten. Das Potenzial von FLOW3 wurde durch die Schulung noch verstärkter ersichtlich und wir sind gespannt, welche Entwicklung das Framework in Zukunft nehmen wird und freuen uns damit unsere Erfahrungen zu machen.

 

Google Wallet startet

Auch wenn wir ein wenig in Gefahr geraten, bald als Google-Werbe-Blog zu erscheinen, wollen wir kurz auf den Start des neuesten Produktes der Entwickler aus Kalifornien, dem Google Wallet, verweisen, zumal die Auswirkungen dieser Technologie nicht nur auf den Offline-Handel beschränkt sein bleiben.

Mit dem Launch können vorerst jedoch nur Besitzer eines Nexus 4G Smartphones in den USA den neuen Dienst in Kooperation mit dem PayPass-System von Mastercard nutzen. Bei diesem System hält der Nutzer im Regelfalle seine Kreditkarte an ein spezielles Kartenlesegerät und kann so schnell und unkompliziert zahlen. Dieser Vorgang ist nun auch mit dem Smartphone möglich. Die Übertragung der Daten erfolgt mit dem im Handy integrierten NFC-Chip, in dem die Zahlungsinformationen des Nutzers gespeichert sind. Nach und nach sollen das Bezahlen mit weiteren Karten möglich sein, auch eine Zusammenarbeit mit Visa und American Express ist bereits geplant. Gesichert ist das Verfahren durch eine zusätzliche PIN und dem sog. „Secure Element“, das die sensiblen Daten getrennt von den restlichen Informationen auf dem Smartphone speichert.

Google Wallet Payment

Google Wallet soll auf Dauer den Geldbeutel ersetzen. (Bild:Google)

Bereits seit Sommer lief ein Feldtest, der für Google offenbar zufriedenstellend verlief. Die zugrunde liegende NFC-Technik war auch bereits in den für das PayPass-System genutzten Kreditkarten eingebaut und wird nun für das Wallet genutzt. Derzeit können Kunden der Citibank mit einer Mastercard den Dienst bereits nutzen, alternativ bietet Google auch eine hauseigene Prepaid-Karte Early Adopter an. Neben weiteren Kartenanbietern wartet man vor allem auf die flächendeckende Einführung weiterer NFC-fähigen Smartphones.

Doch Google wäre nicht Google, wenn die Ziele nicht schon wieder viel weiter gesteckt wären. Neben der Bezahlfunktion sollen weitere Dienstleistungen wie Kundenkarten oder Gutscheine ermöglicht werden. Hier ist vor allem die Synchronisation des Wallet mit Google Offers als Konkurrenz zu Groupon interessant, zumal Google sich mit dem Ankauf von Daily Deal weiter in diesem Bereich verstärkt hat. Das Ganze soll per App realisiert werden. Vor allem das Thema Sicherheit steht dabei noch im Brennpunkt, Kritiker weisen vor allem darauf hin, dass eine PIN allein nicht ausreichend Schutz biete. Zudem wird die Kopplung an traditionelle Kreditkarten ebenso bemängelt wie (natürlich!) der mangelnde Datenschutz für die sensiblen Kontendaten.

Auch die deutschen Mobilfunkunternehmen Telekom, Vodafone und O2 wollen sich für ihr Payment-Projekt Mpass die NFC-Technologie zu Nutze machen und damit im nächsten Jahr ebenfalls den breiten Markt in Angriff nehmen.

Inwieweit dies Auswirkungen auf E-Commerce Plattformen wie Magento haben wird, ist noch unklar. Zumindest fürs erste scheint eine Kooperation zwischen Google und Magento in diesem Bereich unwahrscheinlich, hat doch PayPal, wie Magento eine eBay-Tochter, auch schon gegen Google Wallet geklagt, es geht mal wieder um Plagiatsvorwürfe und Abwerbung von Topkräften. Die Technologie an sich ist jedoch auf für Magento interessant. Vor allem im Hinblick auf Mobile Commerce ist denkbar, dass Bezahlvorgänge ebenfalls über das Wallet oder vergleichbare Systeme laufen könnten und hier E-Commerce und Offline-Handel wieder einen Schritt näher zusammenrücken. Gespannt sein darf man auch auf die Entwicklungen im Bereich Sicherheit. Das es mit einer zusätzlichen Pin und dem derzeitigen Secure-Element für das Wallet nicht getan ist, zumal Angriffsflächen erst durch die flächendeckende Einführung jetzt geboten werden, dessen ist man sich auch im Hause Google bewusst. Wenn man den Geldbeutel inklusive Kreditkarten in Zukunft wirklich komplett ersetzen will, sind noch ein paar Errungenschaften zu erwarten, die auch auch für Magento und Co. durchaus interessante Entwicklungen anstoßen könnten.

Usability-Blog verweist auf ffn-Webseiten

Steffen Heim hat auf dem Usability-Blog einen Beitrag über die verschiedenen Zugangsmöglichkeiten zu Informationen geschrieben und sich dabei die Webseite, mobile Webseite und die Smartphone App des Radiosenders ffn als Beispiel aufgegriffen. Da zumindest die beiden erstgenannten von uns realisiert wurden, war das Ganze natürlich für uns von ganz besonderem Interesse.

Umso mehr freut es uns, dass Steffen Heim ein positives Fazit für die Projekte gezogen hat. Vor allem Übserichtlichkeit und Bedienbarkeit hebt er als gelungen hervor. Allerdings zeigt er auch noch 1,2 Verbesserungsmöglichkeiten gerade im Bereich mobile Seiten auf, die wir für dieses und weitere Projekte in der Zukunft natürlich im Hinterkopf behalten werden.

Google Analytics für den Datenschutz anpassen

Während die Debatte um den Facebook-Like-Button nach wie vor im Gange ist und die Äußerungen der Datenschützer aus Schleswig-Holstein im Internet eifrig diskutiert werden (die Meinungen reichen hierbei von „realitätsfremd“ bis „richtig so“), hat ein anderer Internetriese zumindest eine Problematik im deutschen Datenschutzdschungel beiseite geräumt. Google konnte letzte Woche eine Einigung mit Datenschützern hinsichtlich „Analytics“ verkünden. Die Analysesoftware stand vor allem deshalb in der Kritik, weil die IP-Adresse der Benutzer auch an die Server in den USA übermittelt wurde.Auch wenn Google weiterhin die Meinung vertritt, dass Analytics auch zuvor schon den Richtlinien entsprach, ist man nun nach ein paar Anpassungen auch offiziell Datenschutzkonform.

Google Analytics Magento

Analysesoftware Google Analytics

Schritt 1 auf diesem Weg war die Einführung eines Browser Add-Ons bereits im Mai diesen Jahres, dass es Usern ermöglichte, die Analytics-JavaScripts abzuschalten und so die Nachverfolgung ihres Surfverhaltens zu blocken. In der nun weitergehenden Maßnahme stellt Google für Webmaster eine Anpassung des Tracking-Codes zur Verfügung, nach der nun nicht mehr die komplette IP der Benutzer gespeichert, sondern ein Teil davon anonymisiert wird. Diese Anonymisierung müssen Webseitenbetreiber selbst vornehmen, in dem sie die IP-Masken-Funktion in Google Analytics aktivieren. Dies geht über eine Anpassung des Tracking-Codes von Analytics. Das Snippet hierzu finden Sie auf Google Code. Standardmäßig wird wohl weiterhin ersteinmal der Code mit der vollständigen Übermittlung von Google generiert.

Da bei Magento der Analytics-Code nicht manuell eingebunden, sondern im Backend einfach die Kundenkontonummer eingetragen wird, über die sich die Software dann den Code holt, ist es nicht mit der direkten Änderung getan. Wir werden das entsprechende Modul in den nächsten Tagen auf die neusten Magento-Versionen anpassen, zeitnah in GutHub hochladen und zur Verfügung stellen.

Mit den Anpassungen wird die Nutzung des Trackings, um wertvolle Informationen für die Auswertung in Analytics zu generieren, weiterhin ermöglicht, jedoch keine personenbezogenen Daten mehr übermittelt. Laut Google kann dies die Genauigkeit der Geotracking-Funktion etwas beeinträchtigen, sonst sollen alle Funktionalitäten erhalten bleiben.

TypoGento und neuere Versionen von TYPO3

Wer TypoGento verwendet oder verwenden möchte und dabei eine neue TYPO3-Version einsetzt, erhält bei der aktuellen Version einen Fehler. Der Fehler tritt bei allen TYPO3-Versionen auf, welche nicht mehr von der Sicherheitslücke TYPO3-CORE-SA-2011-001 betroffen sind.

Der Grund für den nun auftretenden Fehler ist ein deutlich vorgezogenes Starten der PHP-Session, wenn ein Benutzer eingeloggt ist. Dieses vorgezogene Starten der Session war für das Beheben der Sicherheitslücke entscheidend. Die Fehlermeldung, welche ein Webseiten-Besucher zu sehen bekommt ist die Folgende:

Fatal error: Mage_Core_Model_Session_Abstract::getMessages() [mage-core-model-session-abstract.getmessages]: The script tried to execute a method or access a property of an incomplete object. Please ensure that the class definition "Mage_Core_Model_Message_Collection" of the object you are trying to operate on was loaded _before_ unserialize() gets called or provide a __autoload() function to load the class definition in /.../magento/app/code/core/Mage/Core/Model/Session/Abstract.php on line 215

Der Fehler tritt auf, weil TypoGento für das Laden von Magento-Klassen den Magento-Autoloader entfernt und gegen einen eigenen Autoloader ersetzt. Dass passiert bei Rendern des Plugin-Codes.

Typogento Logo Flagbit

TypoGento- Logo

Magento speichert PHP-Objekte serialisiert in der Session. Wenn die Session gestartet wird, werden diese Objekte wieder deserialisiert. Das klappt aber nur, wenn der Autoloader von TypoGento bereits registriert ist. Bisher war das der Fall. In den neueren TYPO3-Versionen wird die Session aber deutlich früher wieder hergestellt und der Autoloader ist noch nicht ausgetauscht bzw. registriert. Somit kommt es zu der o.g. Fehlermeldung.

Um mit dem geändertem Session-Handling umgehen zu können, haben wir einige Punkte in TypoGento refactored. Allerdings wird TypoGento nun nur noch mit TYPO3 4.3 und neuer funktionieren. Wer einen ersten Entwicklungsstand ausprobieren möchte, kann sich auf GitHub (https://github.com/Flagbit/TypoGento) den Branch „beta“ downloaden. Für Feedback sind wir selbstverständlich dankbar.

Betroffen sind im Übrigen die TYPO3-Versionenen 4.3.12 und neuer, 4.4.9 und neuer sowie 4.5.4 und neuer. Somit sind also auch alle aktuellen TYPO3-Versionen betroffen.

Fiba-immo.de online

TYPO3 Webseite fiba-immo.de Flagbit Karlsruhe

Starseite der TYPO3-Webseite von fiba-immo.de

Nachdem bereits die vorherige Website der FIBA ImmoHyp GmbH von Flagbit realisiert wurde, ging vor kurzem ein Relaunch der TYPO3-Seite mit überarbeitetem Design online. Wir freuen uns, dass diese langjährige Kundenbeziehung eine Fortsetzung finden konnte und wünschen FIBA weiterhin viel Erfolg sowohl online wie auch offline.

Die FIBA ImmoHyp GmbH ermöglicht Finanzierungen verschiedenster Arten in variablen Laufzeiten und Konditionen und verfügt über 20 Repräsentanzen in Deutschland. Auf der Webseite finden Interessenten nun Informationen zu Privatkrediten, Baufinanzierung  und weiteren Dienstleistungen. Wichtige Informationen können heruntergeladen werden und mit dem Newsletter bleiben Kunden stets auf dem neusten Stand.

TYPO3 4.6 Beta – Änderungen

Wenn alles nach Plan läuft, wird am 25. Oktober eine neue Major-Version von TYPO3, nämlich TYPO3 4.6.0 alias „Rebase“ erscheinen. Die erste Beta erblickte bereits am 30. August 2011 das Licht der Welt.

Es wird also höchste Zeit, sich mit den Neuerungen dieser Version zu beschäftigen. Nachdem die aktuelle Version TYPO3 4.5 unter dem Fokus größtmöglicher Kompatibilität entwickelt wurde, wird mit der Version 4.6 eine Vielzahl dieser Altlasten aufgegeben und somit der Prozess für die Entwicklung neuer Features vereinfacht. Auf die geplanten Änderungen für die Version 4.6 bin ich bereits in einem älterem Artikel eingegangen.

Nun ist die Entwicklung schon viel weiter und man kann Bilanz ziehen, welche Änderungen uns nun wirklich in der neuen Version erwarten:

PHP >5.3 benötigt

Für die meisten wird die einschneidenste Änderung wohl die Aufgabe der Unterstützung von PHP-Versionen kleiner 5.3 und den damit ebenfalls aufgegebenen Support für Safe Mode sein. Wer noch eine ältere Version von PHP einsetzt, wird somit nicht auf TYPO3 4.6 updaten können.

Ebenso wurde der Support für ältere Image Magick Versionen aufgegeben. TYPO3 rendert nun nur noch Bilder mit der aktuellen ImageMagick Version 6 oder mit GraphicsMagick.

XLIFF

Weiterhin wurde das locallang-Konstrukt für die Lokalisierungen im Core abgelöst. In TYPO3 4.6 kommt nun XML Localization Interchange File Format, kurz XLIFF, zum Einsatz. XLIFF ist ein unabhängig von TYPO3 entwickelter Standard zur Darstellung hierarchisch strukturierter Daten von Übersetzungsprogrammen. In FLOW3 werden die Übersetzungen bereits mit XLIFF gehandhabt, so dass die Implementierung von dort nun als Backport im TYPO3 4.x Core zu finden ist.

Selbstverständlich kann und sollte XLIFF nun auch in TYPO3 Extensions verwendet werden, obgleich die alten Techniken vorerst schon noch funktionieren. Für den einfachen Umstieg auf das neue Format ist ein Converter in Planung.

Neues Form Content Object

Eine weitere auffällige Neuerung ist das neue FORM-cObject. Es ermöglicht auf möglichst einfache Weise unter Verwendung vielfältiger JavaScript-Funktionen sich ein Formular per Drag-n-Drop zusammen zu stellen. Dabei sieht der Redakteur sofort, wie sein Formular später aussehen wird. Somit lassen sich auch von Redakteuren relativ komplexe Formulare einfach realisieren.

Performance-Verbesserungen

Zusätzlich werden einige Performance-Verbesserungen Einzug in TYPO3 4.6 halten. So werden nun Fluid-Templates in PHP-Dateien kompiliert. Außerdem ist das neue Caching-Framework, welches mit TYPO3 4.3 eingeführt wurde, nun immer aktiviert. Früher musste dieses noch explizit aktiviert werden.

Aber auch im Backend sollen verschiedene Neuerungen die Performance optimieren. So sind z.B. nun alle JavaScript und CSS-Dateien zu einer großen Datei zusammengefügt, was die Anzahl der Page-Requests im Backend stark reduziert. Fürs Frontend kann eine entsprechende Mergefunktion nun ebenfalls aktiviert werden.

Sonstiges

Letzlich gibt es wie immer noch viele kleine Gimmicks, welche das Leben mit TYPO3 einfacher machen. So muss nun der Administrator nun nicht mehr die Datei „ENABLE_INSTALL_TOOL“ anlegen, wenn er das Install-Tool aus dem Backend heraus aufruft. Dies erledigt nun das Backend-Modul vollkommen automatisch.

Außerdem wird nun beim Berechnen der Zeit, bis wann eine Seite im Cache landen soll, die Start- und Stop-Zeit von Inhaltslementen beachtet. Dies lässt Extensions wie Cache Expire überflüssig werden.

Und zu guter letzt gibt es auch noch ein paar neue Features für stdWrap. So steht nun zum Beispiel .round zu verfügung, um Zahlen zu runden. Und mit .hash lassen sich nun mit TypoScript Hashes berechnen.

Wer eine komplette Liste der Änderungen einsehen möchte, kann auch noch einmal im Wiki und auf der Projekt-Webseite nachlesen.

Beginn Master-Studium Christoph Bauer

Heute gibt es ausnahmsweise mal einen Beitrag in eigener Sache, daher auch die Ich-Perspektive. 😉

Gestern begann mit der offiziellen Eröffnungsveranstaltung mein Master-Studium in der Fachrichtung „Marketing & Communications“ an der Hochschule für Ökonomie und Management (FOM) am Standort Mannheim. Die FOM hat ihren Hauptsitz in Essen, bietet aber in Kooperation in anderen Hochschulstädten deutschlandweit berufsbegleitende Präsenz-Bachelor und Master-Studiengänge an. Dieses Semester starten zum ersten Mal Studiengänge in Mannheim.

Für mich als Geisteswissenschaftler ist das Studium eine ideale Ergänzung zu meiner Tätigkeit im Bereich Online-Marketing/Öffentlichkeitsarbeit, die ich bei Flagbit derzeit ausführe. Mit dieser Weiterbildung möchte ich meine persönlichen Möglichkeiten vergrößern und den hier an mich gestellten Anforderungen noch besser gerecht werden. Sowohl die wirtschaftswissenschaftlichen als auch die kommunikationstheoretischen Inhalte des Studiums lesen sich äußerst interessant und bieten spannende Aspekte, die ich hoffentlich sehr gut in meine beruflichen Tätigkeiten integrieren kann. Ich bin jedenfalls äußerst gespannt auf die Zeit und das Studium, wobei meine Freizeit dank des Studiums zusätzlich zur Arbeitszeit sicher überschaubar bleiben wird. 😉

Neuer Azubi: Dennis Ungelbach

Seit dem 1.9.2011 dürfen wir mit Dennis Ungelbach noch einen neuen Auszubildenden begrüßen. Dennis hat zuvor bereits ein einjähriges Praktikum als Fachinformatiker/Anwendungsentwickler bei der „BWG-KIT-Prozessoptimierung im Mittelstand AG“ absolviert und konnte hier vor allem wertvolle Erfahrungen im Bereich Office Line sammeln. Nun beginnt er seine Ausbildung zum Fachinformatiker bei Flagbit. Er wird vorerst hauptsächlich Steffen bei seinen Aufgaben für TYPO3 und Magento unterstützen, doch auch im Bereich des Zend Framework David zur Seite stehen.

Ein echter Tausendsassa also, was er auch im Sport unter Beweis stellt. Als Marathon erfahrener Läufer fungiert er als neues Vorbild für unsere Laufgruppe, spielt aber auch Tischtennis im Verein und surft gerne. Und zwar nicht im Netz, sondern im Wasser. 😉

« Vorherige Einträge