Es gibt viele Dinge, die man als TYPO3-Administrator beachten muss, wenn man seine TYPO3-Installation zuverlässig gegen Angreifer schützen will (vgl. TYPO3 Security Checklist: 47 Massnahmen, um eine TYPO3-Installation sicherer zu machen). Der Service TYPO3 Watchdog bietet hierbei Unterstützung, indem er TYPO3-Websites auf bekannte Probleme überprüft. Hierzu muss auf dem zu überwachenden System die Extension aba_watchdog installiert werden. Wenn man dieses System dann bei TYPO3 Watchdog registriert, erhält man eine ID zugewiesen, die man in die Extension-Konfiguration einträgt. Und schon liefert der Dienst Vorschläge für Massnahmen, um die Sicherheit zu verbessern – auf der Watchdog-Website sowie per E-Mail.
Das ist grundsätzlich ein interessantes Konzept, aber man darf nicht zu viel erwarten: Die Sicherheitsrisiken, die TYPO3 Watchdog derzeit erkennt, lassen sich leicht auch über das TYPO3-Backend finden. Derzeit prüft der Dienst vor allem Versionsnummern von Core und Extensions, ausserdem erkennt er ein nicht deaktiviertes Install Tool. Zu einer wirklich sicheren TYPO3-Installation gehört aber weit mehr als das.
Wer TYPO3 Watchdog nutzt muss sich ausserdem bewusst sein, dass er mit damit nicht nur Sicherheitsrisiken eliminiert, sondern auch neue schafft. Die Extension aba_watchdog öffnet eine Hintertüre zum System, die potentiell missbraucht werden kann. Auch die Website www.typo3watchdog.com ist ein attraktives Angriffsziel, denn wer sie knackt erhält Einblick in die Sicherheitslücken aller registrierten Websites.
Ich möchte mir kein abschliessendes Urteil über TYPO3 Watchdog erlauben, zumal der Dienst offenbar noch im Aufbau ist. Man würde sich aber in falscher Sicherheit wiegen, wenn man glauben würde, dass dies eine Patentlösung für alle Sicherheitsprobleme ist.
Nachtrag: Am 15. Dezember 2009 wurde bekannt, dass die Watchdog-Extension in der Version 2.0.2 eine Sicherheitslücke aufweist. Es wird ein Update auf die Version 2.0.3 empfohlen.
Hallo!
Eine Überwachung von TYPO3-Installationen ist eine durchaus sinnvolle und aktuell nicht vorhandene Funktion.
Allerdings möchte ich zu den Bedenken des autors noch etwas hinzufügen:
Welche Sicherheit habe ich, dass nicht der Anbieter selbst auf die Daten zugreift? Oder evtl. Code von eigenen Extensions ausliest?
Die Funktion an sich ist sehr sinnvoll, aber für meine eigenen Projekte und vor allem für meinen Arbeitgeber kommt es definitiv nicht in Frage, solche Sicherheitsrelevanten Informationen und geistiges Eigentum in die Reichweite eines mir unbekannten Servers zu bringen, der von einem mir unbekannten Webdienstleister betrieben wird.
Liebe Grüße,
André