Typo3 - Sicherheit

Aus Wikizone
Version vom 4. April 2007, 08:34 Uhr von 193.196.133.66 (Diskussion)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

SSL - Verschlüsselung[Bearbeiten]

Auszug aus http://jweiland.net/typo3cms/howto/ssl/ Datum des Zugriffs: 4.4.2007


Typo3 Backend mit SSL verwenden[Bearbeiten]

Die Passwörter für die Backend User werden in der Datenbank nicht im Klartext sondern als md5-Hash gespeichert. Bei der Anmeldung werden jedoch die Kennwörter unverschlüsselt zum Server übertragen.


Da ein Admin-User Zugriff auf alle Dateien und Datenbanken (z.B. auch Mailinglisten) hat, kann es sinnvoll sein, im Backend nur über eine sichere Verbindung (SSL) zu arbeiten. Alle Daten, auch die Passwörter, werden dann bereits vor der Übertragung vom Browser verschlüsselt.


Voraussetzung dafür ist ein Webserver, der die Verschlüsselung unterstützt und für den ein SSL-Zertifikat eingerichtet ist. Bei den Managed Servern von 1&1 und Schlund ist ein solches Zertifikat bereits im Preis enthalten und kann über das Konfigurationsmenü angefordert werden.


Generell ist zu beachten, dass für jede IP-Adresse nur ein SSL-Zertifikat ausgestellt werden kann. Verwendet man also mehrere Domains auf einem Server, muss man sich entscheiden, für welche Domain das Zertifikat ausgegeben werden soll. Erfolgt dann ein https-Aufruf zu einer anderen Domain oder Subdomain auf dem Server, erhält der Besucher eine Warnung:


Das Zertifikat für meinen Server ist für die Domain "jweiland.net" ausgestellt, beim Aufruf über www.jweiland.net (oder z.B. jweiland.com) erscheint der entsprechende Hinweis. Beim Klick auf OK wird die verschlüsselte Verbindung jedoch korrekt aufgebaut. Möchte man SSL jedoch auch im Frontend verwenden, sollte man das Zertifkat auf die entspechende Domain (z.B. shop.jweiland.de) ausstellen lassen, damit der Besucher der Webseite nicht dauernd mit der Warnmeldung konfrontiert wird. Werden SSL Zertifikate für mehrere Domains benötigt (ohne das die Warnmeldung erscheinen soll) muss man sich für einen Server entscheiden, bei dem man weitere IP-Adressen hinzubuchen kann.


Um im Backend von Typo3 über SSL arbeiten zu können, muss der Parameter 'lockSSL' im Installtool konfiguriert werden. Sinnvoll ist hier ein Eintrag von 2. Dadurch wird erreicht, dass ein Anwender, der das Backend über eine unverschlüsselte Verbindung aufruft, automatisch auf eine Verbindung mit Verschlüsselung umgeleitet wird. Bei einem Eintrag von '1' muss der Aufruf generell über https erfolgen.


Achtung: in früheren Versionen von Typo3 war die Implementierung teilweise unvollständig, so dass der Paramter lockSSL nur bei bestimmten Serverkonfigurationen funktionierte (es musste die Umgebungsvariable SSL_SESSION_ID gesetzt sein, dies ist jedoch nicht immer der Fall). In Version 3.6.1 wurde daher eine Änderung implementiert, die alternativ abfragt, ob die Umgebungsvariable HTTPS auf "on" steht. Bei einigen Servern, darunter auch die Managed Server von 1&1 und Schlund, steht diese Variable jedoch auf '1' statt 'on'. Um lockSSL auch mit diesen Servern zu verwenden, muss bei der Version 3.7.0 die Zeile 2642 der Datei t3lib_div.php entsprechend geändert werden. Diese Änderung wird vermutlich in die nächste Version (3.8.0) von Typo3 einfliessen.


Bei Problemen mit SSL-Proxy[Bearbeiten]

Testweise den Cache der Seite abstellen

Abgerufen von „https://wiki.stephanschlegel.de/index.php?title=Typo3_-_Sicherheit&oldid=18539