TYPO3 Mailingliste: nicht fragen - lesen!

Hallo,

ich habe eine Typo3-Intranet-Lösung bei einem Kunden laufen. Nun möchte
dieser auch im Internet mit diesem System präsent sein.

Es ist eine Firma mit sicherheitsrelevanten Dokumenten, daher muss das
Thema Systemsicherheit auf jeden Fall entsprechende Beachtung finden.

Meine Überlegung ist nun ob ich zwei getrennte Typo3-Installationen
aufbaue, das wäre sicherheitstechnisch viel einfacher, aber dann habe
ich natürlich viele redundante Bereiche.

Oder eben eine Typo3-Installation mit entsprechenden Rechten versehen?

Wie sind da Eure Erfahrungen?

Was die Sicherheit der Server angeht: Davon habe ich keine ausreichende
Ahnung, aber habe dort entsprechende Experten zur Seite, die dieses
Thema beackern.

THX!

Marc
_______________________________________________
TYPO3-german mailing list
TYPO3-german (AT) lists (DOT) netfielders.de
http://lists.netfielders.de/cgi-bin/...o/typo3-german

Marc Fell schrieb:
> Hallo,
>
> ich habe eine Typo3-Intranet-Lösung bei einem Kunden laufen. Nun möchte
> dieser auch im Internet mit diesem System präsent sein.
>
> Es ist eine Firma mit sicherheitsrelevanten Dokumenten, daher muss das
> Thema Systemsicherheit auf jeden Fall entsprechende Beachtung finden.
>
> Meine Überlegung ist nun ob ich zwei getrennte Typo3-Installationen
> aufbaue, das wäre sicherheitstechnisch viel einfacher, aber dann habe
> ich natürlich viele redundante Bereiche.
>
> Oder eben eine Typo3-Installation mit entsprechenden Rechten versehen?
>
> Wie sind da Eure Erfahrungen?
>
> Was die Sicherheit der Server angeht: Davon habe ich keine ausreichende
> Ahnung, aber habe dort entsprechende Experten zur Seite, die dieses
> Thema beackern.
>
> THX!
>
> Marc

Hallo Marc!


Da hast du eine große Verantwortung zu tragen. Ich weiß nicht wie
intensiv du dich mit dem Thema beschäftigt hast, aber das ist alles
andere als trivial.

Hier spielen eine Menge Faktoren mit, die man nicht nur in einer
Newsgroup klären kann. Du solltest dir in jedem Fall einen Experten an
Land ziehen, der die Realisierung komplett plant und durchcheckt. Eine
professionelle Beratung werde ich innerhalb der Newsgroup nicht leisten,
trotzdem hier ein Einstieg:

Lies, verstehe und beachte das Typo3 Security Cookbook
http://typo3.org/teams/security/

1.) Serversicherheit - as usual...
2.) Verschlüsselung wo es nur geht! BE/FE-Login, BE komplett per SSL,
geschützte FE Bereiche genauso, falls FTP im Einsatz diesen ebf. mit
Verschlüsselung für Login und Datentransfer ausstatten.
3.) Einsatz von sog. Secure Download Extensions - damit kann man Dateien
außerhalb des Webroot ablegen; diese werden nach erfolgreicher
Authentifizierung per PHP "gestreamt".

Eine andere Möglichkeit ist eine getrennte Typo3 Installation.
Dann kann man die Intranet-Lösung komplett abschirmen.

Frage:
Wo genau liegen deine Bedenken bezüglich der Redundanz?
Nicht alles, aber vieles lässt sich sicher lösen.


Gruß
Andreas


_______________________________________________
TYPO3-german mailing list
TYPO3-german (AT) lists (DOT) netfielders.de
http://lists.netfielders.de/cgi-bin/...o/typo3-german

Hallo Andreas,

vielen Dank für deine Antwort.

Ich bin an dieses Thema sowieso schon mit einer großen Sensibilität
rangegangen. Wohl dem, der seine Grenzen kennt... ;o)

Ich werde, wenn nötig wohl auf jeden Fall professionelle Hilfe
hinzuziehen. Momentan ist es noch nicht geklärt, welche Inhalte genau da
eingestellt werden sollen. Man wird sehen... Die Mühlen malen hier
langsamer...

Ciao Marc


> Hallo Marc!
>
>
> Da hast du eine große Verantwortung zu tragen. Ich weiß nicht wie
> intensiv du dich mit dem Thema beschäftigt hast, aber das ist alles
> andere als trivial.
>
> Hier spielen eine Menge Faktoren mit, die man nicht nur in einer
> Newsgroup klären kann. Du solltest dir in jedem Fall einen Experten an
> Land ziehen, der die Realisierung komplett plant und durchcheckt. Eine
> professionelle Beratung werde ich innerhalb der Newsgroup nicht leisten,
> trotzdem hier ein Einstieg:
>
> Lies, verstehe und beachte das Typo3 Security Cookbook
> http://typo3.org/teams/security/
>
> 1.) Serversicherheit - as usual...
> 2.) Verschlüsselung wo es nur geht! BE/FE-Login, BE komplett per SSL,
> geschützte FE Bereiche genauso, falls FTP im Einsatz diesen ebf. mit
> Verschlüsselung für Login und Datentransfer ausstatten.
> 3.) Einsatz von sog. Secure Download Extensions - damit kann man Dateien
> außerhalb des Webroot ablegen; diese werden nach erfolgreicher
> Authentifizierung per PHP "gestreamt".
>
> Eine andere Möglichkeit ist eine getrennte Typo3 Installation.
> Dann kann man die Intranet-Lösung komplett abschirmen.
>
> Frage:
> Wo genau liegen deine Bedenken bezüglich der Redundanz?
> Nicht alles, aber vieles lässt sich sicher lösen.
>
>
> Gruß
> Andreas
>
>
_______________________________________________
TYPO3-german mailing list
TYPO3-german (AT) lists (DOT) netfielders.de
http://lists.netfielders.de/cgi-bin/...o/typo3-german

Am Fri, 05 Jan 2007 11:45:07 +0100 schrieb Marc Fell:

>
> Meine Überlegung ist nun ob ich zwei getrennte Typo3-Installationen
> aufbaue, das wäre sicherheitstechnisch viel einfacher, aber dann habe
> ich natürlich viele redundante Bereiche.
>
> Oder eben eine Typo3-Installation mit entsprechenden Rechten versehen?
>
> Wie sind da Eure Erfahrungen?
>
> Was die Sicherheit der Server angeht: Davon habe ich keine ausreichende
> Ahnung, aber habe dort entsprechende Experten zur Seite, die dieses
> Thema beackern.
>

Wenn es wirklich um Dokumentensicherheit geht, rate ich zu zwei völlig
getrennten System, auch bei der Hardware. Typo3 kennt von Natur aus keine
Sicherheitskontrolle bei der Dokumentenauslieferung und nicht alle "Secure
Download" Extensions liefern tatsächlich echte Sicherheit.

Das größte Problem sitzt aber immer vor dem Rechner. In den letzten
Wochen sind interne Daten sowohl bei Google als auch bei der Polizei im
Internet aufgetaucht. Ich würde daher auch bei der optischen Gestaltung
von Internet und Intranet klar differenzieren, damit auch dem dümmsten
Anwender klar ist, in welchem Bereich er gerade arbeitet.

Grüße

Elmar


_______________________________________________
TYPO3-german mailing list
TYPO3-german (AT) lists (DOT) netfielders.de
http://lists.netfielders.de/cgi-bin/...o/typo3-german

> Wenn es wirklich um Dokumentensicherheit geht, rate ich zu zwei völlig
> getrennten System, auch bei der Hardware. Typo3 kennt von Natur aus keine
> Sicherheitskontrolle bei der Dokumentenauslieferung und nicht alle "Secure
> Download" Extensions liefern tatsächlich echte Sicherheit.
>
> Das größte Problem sitzt aber immer vor dem Rechner. In den letzten
> Wochen sind interne Daten sowohl bei Google als auch bei der Polizei im
> Internet aufgetaucht. Ich würde daher auch bei der optischen Gestaltung
> von Internet und Intranet klar differenzieren, damit auch dem dümmsten
> Anwender klar ist, in welchem Bereich er gerade arbeitet.
>
> Grüße
>
> Elmar
>

Jau, EXAKT dieses Beispiel der Polizei und dem Sicherheitsproblem
"Super-DAU" (Mensch) hatte ich auch angebracht.

Zwei getrennte Systeme halte ich auch für den klar besten Weg. Bis die
Internetseite mit allen Sicherheitsaspekten in diese verzwickte
IT-Landschaft integriert ist... Wie gesagt, ich bin kein Fachmann auf
diesem Gebiet, aber für mich ist es nur eine Frage der Zeit, bis das
erste Loch da ist.

THX!

Marc
_______________________________________________
TYPO3-german mailing list
TYPO3-german (AT) lists (DOT) netfielders.de
http://lists.netfielders.de/cgi-bin/...o/typo3-german