CMS-Serie: Content Management System Typo3 4.3

Version 4.3 von Typo 3 verspricht erhöhte Sicherheit, verbesserte Usability und führt ein Model-View-Controller-Framework für Frontend-Extensions ein.

Typo 3 zählt zu den beliebtesten Content-Management-Systemen und Webapplikations-Frameworks auf Open-Source-Basis. Es verwendet PHP und erbt damit alle Vorzüge und Nachteile dieser Skriptsprache.

Die Datenbankanbindung erfolgt über eine Datenbank-Abstraktionsebene (DBAL, Database Abstraction Layer). In mittelgroßen Typo-3-Projekten kommt meistens MySQL oder PostgreSQL zum Einsatz.

Wer eine CMS-Lösung der Enterprise-Klasse benötigt, kombiniert Typo 3 meist mit der Oracle-Datenbank, die unter anderem Skalierbarkeit und Load-Balancing bietet und ebenfalls vom Database Abstraction Layer (DBAL) unterstützt wird. Typo 3 wird manchmal mit der fast gleichnamigen Blogging-Software für Ruby namens Typo verwechselt.

4.3 am Start

Typo 3 lag zum Redaktionsschluss in der stabilen Version 4.2.6 vor. In Typo-3-Entwicklerkreisen konzentriert sich das Interesse zurzeit auf die aktuelle Entwickler-Version 4.3.0 Alpha 2, da der Schritt zur stabilen Version TYPO 4.3 offenbar kurz bevorsteht.

Der wichtigste Schwerpunkt von Typo 3 Version 4.3, der Anwender wie Entwickler gleichermaßen interessiert, liegt im Bereich Sicherheit. Mit Blick auf den Endanwender wurde die Usability optimiert. Umfassende Verbesserungen am Typo-3-Framework kommen wiederum den Entwicklern zugute.

Flow 3 und Typo 3 5.0

Typo 3 wurde in der Version 4.3 nicht nur überarbeitet, sondern von Grund auf neu entworfen. Die Typo-3-Entwickler haben das beliebte CMS-System auf das Model-View-Controller-Konzept (MVC) umgestellt:

Die Daten, die Ausgabe und die Prozesslogik sind nun fein säuberlich voneinander getrennt. Diese sehr gelungene Strukturierung macht Typo 3 modularer und vereinfacht erheblich die Wartung und Instandhaltung der Websites.

Das Framework von Typo 3 4.3 macht bewusst viele Anleihen bei Flow 3, sodass Entwickler, die bereits jetzt auf das MVC-Konzept und Flow 3 setzen, mit ganz geringem Aufwand ihre Extensions auf Typo 3 5.0 portieren können. Doch die Typo-3-Entwickler sind bei der Version 4.3 noch einen Schritt weiter gegangen und haben ein durchdachtes globales Caching-Framework eingeführt.

Auf diese Weise lassen sich eigene Anwendungen mit maßgeschneidertem Cache-Handling ausrüsten. Die Datenspeicherung kann auf eine von drei Weisen implementiert werden: mithilfe einer Datenbank, des Memchached-Verbundes oder des Dateisystems. Datenspeicherung im Memchached-Verbund reduziert die Zugriffszeiten, denn die benötigten Daten werden einfach im Speicher gehalten.

Datenspeicherung im Dateisystem vollbringt keine Wunder. Wer wirklich hohe Performance zur Handhabung großer Datenmengen braucht, sollte sich unabhängig von dem verwendeten CMS für ein Clustered File System wie SGIs CXFS oder IBMs JFS2 entscheiden.

Sicherheitslücken

Bevor die verbesserte Sicherheit von Typo 3 in der künftigen Version 4.3 durchleuchtet wird, werfen wir einen Blick auf die zurzeit aktuelle stabile Fassung 4.2.6, um zu zeigen, welche aktuellen Sicherheitslücken existieren und wie sie mit dem Update behoben werden.

Während es bei vielen CMS-Systemen gerade so vor Sicherheitslücken wimmelt, ist es um Typo 3 relativ ruhig. Sucht man auf einschlägigen Websites nach Security-Exploits, so fördert beispielsweise das Stichwort "Joomla" eine ganze Seite voller dokumentierter Sicherheitslücken zutage. Bei Typo 3 fällt das Ergebnis zum Glück eher mager aus.

Dennoch sollte man sich nicht in einer trügerischen Sicherheit wiegen und glauben, dass Typo 3 unverwundbar sei. Es ist ganz gewiss weniger gefährdet als die meisten anderen quelloffenen CMS-Systeme, aber dennoch bestehen beim PHP- und oft MySQL-basierten Typo 3 eben auch Sicherheitslücken.

Auch bei Typo 3 gilt, was sich auch bei anderen Content-Management-Systemen herausgestellt hat, nämlich: Der eigentliche Kern ist quasi bombenfest, aber bei über 3.600 verfügbaren Typo-3-Erweiterungen bestehen Sicherheitsrisiken, die man nicht ignorieren sollte. Wer seine Typo-3-Installation absichern möchte, sollte sich mit dem Typo-3-Security-Cookbook ernsthaft auseinandersetzen und die Typo-3-Announce-List regelmäßig zurate ziehen.

Schotten dicht nach Testphase

Das Typo 3 Security Cookbook beinhaltet grundlegende Regeln des sicheren Umgangs mit einem frisch installierten System. Es wird unter anderem darauf hingewiesen, dass der Name des admin-Benutzers und natürlich auch das Passwort unbedingt geändert werden sollten. Außerdem wird dringend darauf hingewiesen, dass die Quickstart- und Testsite-Package für Live-Systeme deaktiviert werden sollten.

Stattdessen sollte die Dummy-Package Verwendung finden und die FE- und BE-Benutzer deaktiviert werden. Viele der Empfehlungen aus dem Typo 3 Security Cookbook ließen sich problemlos im Installationsprogramm implementieren, um potenziellen Angreifern den Wind aus den Segeln zu nehmen.

Ein Typo-3-Installationswizard könnte einen zufällig generierten admin-Benutzernamen direkt bei der Installation einrichten. Zu den potenziell besonders folgenschweren Schwachpunkten einer frischen Installation gehören auch bei Typo 3 zu großzügig gesetzte Zugriffsrechte.

Man sollte insbesondere dem Verzeichnis typo3_src alle Schreibzugriffsrechte entziehen. Hier wäre ein Typo-3-Wizard angebracht, der dem Anwender unter die Arme greift, die Schotten dichtzumachen, indem er die Tipps des Typo 3 Security Cookbooks umsetzt. Vielleicht wird die Idee in einer zukünftigen Typo-3-Version aufgegriffen.

Produktivitätssprung

Für die finale Typo-3-Version 4.3 kann man dank des Featurefreeze schon jetzt sagen, dass das gelungene Frontend-Editing sicherlich zu den Glanzpunkten von Typo 3 Version 4.3 zählen wird. Damit wurde ein lange gehegter Wunsch vieler Typo-3-Anwender erfüllt.