Zum Inhalt springen
Der Guide für ein smartes Leben.
Profil
Das kann die Typo 4.3-Version

Teil 2: CMS-Serie: Content Management System Typo3 4.3

Autoren: Redaktion pcmagazin und Anna Kobylinska • 22.7.2009 • ca. 3:40 Min

Inhalt
  1. CMS-Serie: Content Management System Typo3 4.3
  2. Teil 2: CMS-Serie: Content Management System Typo3 4.3

Wer mit anderen Benutzern im Team arbeitet, wie in einer Redaktion üblich, wird an den neuen Editierfunktionen seine Freude haben. Dank neuer Javascript-Funktionen geht die Arbeit viel leichter von der Hand, indem sich das zeitaufwendige vollständige Neuladen der Webseite endlich erübrigt hat. Ma...

Wer mit anderen Benutzern im Team arbeitet, wie in einer Redaktion üblich, wird an den neuen Editierfunktionen seine Freude haben. Dank neuer Javascript-Funktionen geht die Arbeit viel leichter von der Hand, indem sich das zeitaufwendige vollständige Neuladen der Webseite endlich erübrigt hat. Man kann erstmals in Typo 3 Version 4.3 Bestandteile der Website aktualisieren, zum Beispiel mit Drag-and-Drop ändern, ohne die gesamte Webseite neu zu laden.

Ebenfalls ein echter Produktivitätssprung ist der neue Uploader im Backend. Bisher musste man jede Datei einzeln auswählen. Jetzt kann man erstmals mehrere oder auch alle Dateien aus einem Verzeichnis auf einen Schlag auswählen und übertragen.

Open-ID-Authentifizierung

Typo 3 Version 4.3 glänzt aber auch durch weitere bemerkenswerte Verbesserungen an der Programmlogik. So können Frontend- und Backend-Benutzer sich die tägliche Arbeit enorm vereinfachen, indem sie eine einzige Netzidentität verwenden, um sich gegenüber dem Webserver auszuweisen, das heißt, anzumelden. Auf diese Weise entfällt die sicherheitskritische Speicherung von Typo-3-Logindaten auf dem Webserver.

Content-Management-Systeme
Der einzige bekannte Security Exploit ist mit Typo 3 Version 4.3 voraussichtlich hinfällig.
© Archiv

Stattdessen kann man sich eine sichere Netzidentität bei Verisign oder myOpenID verschaffen oder einen bestehenden Google- beziehungsweise Yahoo-Account zur Anmeldung in Typo 3 nutzen. Die Entwickler haben offenbar auf die Wünsche der Anwender gehört und sich bewusst ganz intensiv mit der Sicherheit in Typo 3 Version 4.3 befasst.

Als Resultat dieser Bemühungen werden die Passwörter für Frontend-Benutzer endlich verschlüsselt. Websites, die sich an große Anwenderkreise gerichtet haben, mussten bisher mit einer Erweiterung aus dem Typo 3 Extension Repository nachgerüstet werden, um dasselbe Ziel zu erreichen.

Rainbow-Tabellen-Angriffe abgeblockt

Typo 3 in der Version 4.3 bedient sich eines zusätzlichen Zufallswertes, um das Passwort zu speichern. Auf diese Weise laufen Rainbow-Table-Angriffe bei Typo 3 Version 4.3 erstmals ins Leere. Dies ist insofern von Bedeutung, da sich Rainbow-Tabellen in Hackerkreisen leider mittlerweile zum Standard entwickelt haben.

Rainbow Table ist eine von Philippe Oechslin entwickelte Datenstruktur, die eine effiziente, wahrscheinlichkeitsbasierte Suche nach Hash-Werten erlaubt. Der sogenannte Time Memory Tradeoff erlaubt die Suche nach fast allen Hashes in erstaunlich kurzer Zeit und zwar ohne alle Hashes wirklich physikalisch abspeichern zu müssen.

Das Rainbow-Table-Prinzip funktioniert bei Hash-Funktionen, die ohne die sogenannte Salt-Routine arbeiten, wie es bei den Passwörtern für Windows NT, bei älteren PHP-Installationen und erstaunlicherweise sogar bei vielen Routern noch der Fall ist. Am besten ist man bedient, wenn man mithilfe von Rainbow-Tabellen seine Passworte selbst testet und so ermittelt, ob sie nicht wider Erwarten zu trivial sind.

Deutsche Anwendergemeinde

Zwar ist der ursprüngliche Erfinder von Typo 3, Kasper Skarhoj, immer noch maßgeblich an der Entwicklung beteiligt, aber die Entwicklung fußt jetzt seit etwa April 2007 auf einem breiten Typo-3-Entwicklerteam mit starker deutscher Beteiligung. Typo 3 wird weltweit über 290.000 Mal eingesetzt und hat relativ hohe Anforderungen an die Leistungs- und Konfigurationsfähigkeit des Servers.

Typo 3 konnte über die Jahre eine starke deutsche Anwender- und Entwicklergemeinde gewinnen. So wurde die vierte, offizielle, internationale Typo-3-Konferenz 2008 in Berlin zum Grundstein der Förderung des FORM-Projektes.

Der größte Sponsor des FORM-Projektes war ein Netzwerk deutscher Universitäten und Hochschulen (dem die Universität Erfurt, Fachhochschule Erfurt, Technische Universität Ilmenau, Fachhochschule Nordhausen und die Bauhaus- Universität Weimar angehören), die mit eigenen Fördermitteln den Großteil der finanziellen Last getragen haben.

Fazit

Typo 3 in der Version 4.3 macht trotz der geringfügigen Änderung der Versionsnummer einen großen Sprung nach vorne. Das Update bringt neben der deutlich verbesserten Sicherheit und Usability die erstmalige Einführung eines Model-View-Controller-Frameworks (MVC) für Frontend-Extensions.

Das leistungsfähige Konzept erlaubt es, die gespeicherten Daten, die Ausgabe-Engine mit PDF oder HTML und die Prozesslogik sauber voneinander zu trennen. Die Komponentenbasierte Architektur beschleunigt die Entwicklung und Instandhaltung von Websites. Das MVC-Konzept, welches intensiv auf Flow 3 aufsetzt, ebnet den Typo-3-Entwicklern die Umstellung auf die nächste große Version Typo 3 5.0.

Rainbow-Tabellen

Unter dem Begriff Rainbow Table versteht man eine hochkomprimierte Repräsentation von zusammenhängenden Passwortsequenzen, den sogenannten Ketten (Chains).

Jede dieser Ketten beginnt mit einem Anfangskennwort, welches durch eine Hash-Funktion verarbeitet wird. Der resultierende Hash wird dann durch eine Reduktionsfunktion geführt, mit dem Resultat, dass ein weiteres mögliches Klartextkennwort gefunden wird.

Diese Vorgehensweise wird eine bestimmte Anzahl von Malen wiederholt und am Ende wird schließlich das erste Kennwort der Kette in Kombination mit dem letzten Hash-Wert abgespeichert.

Das Rainbow-Table-Konzept klappt erstaunlich gut. Man muss lediglich beim Generieren der Tabelle unbedingt beachten, dass einerseits kein Passwort, welches in einer Kette vorkommt, als Startpasswort genutzt werden darf. Sonst käme es zu dem äußerst ungünstigen, trivialen Fall, dass sich alle zulässigen Passworte in der Tabelle befinden und das wäre ganz sicherlich nicht im Sinne des Erfinders.

Content-Management-Systeme
Flow 3 wird die Grundlage für das künftige Typo-3-Version 5.0 (flow3.typo3.org).
© Archiv

Die Tabellen werden genau einmal erstellt und es kann dann bei Bedarf darin gesucht werden. Um ein Passwort herauszufinden, wird ein sogenannter Zweistufen-Prozess genutzt. In der ersten Stufe wird der Hash des herauszufindenden Passwortes durch die Hash-Reduktion-Sequenz verarbeitet, bis sich der Hash als rechte Seite der Tabelle ergibt.

Auf diese Weise erhält man das Startpasswort der Kette und kann im zweiten Schritt von diesem ausgehend die Hash-Reduktion-Sequenz anwenden, um das gesuchte Passwort abzuleiten.

1 2
Nächste passende Artikel
Typo3 4.5 - Das umfassende Training
Testbericht Typo3 4.5 - Das umfassende Training
internet, webdesign, typo 3, open-source-cms, cms
Online-Redaktionssysteme CMS-Gigant Typo3
Content-Management-Systeme
Content Management CMS Typo3 in neuer Version 4.5 LTS
internet, webdesign, typo3-backend, typo3, content, website, cms, content-management-system
Redakteursträume Typo 3-Backend optimieren
Typo3 mit Fluid
Zeitreise Typo3 mit Fluid
PHP - Frameworks - Flow 3
Alles im Fluss PHP-Frameworks Teil 9 - Flow 3
Content Management mit Typo3
Das Dickschiff Content Management mit Typo3
Mehr zum Thema
Online-Urheberrecht: Unser Ratgeber bietet Tipps für das Cloud-Recht.
Online-Recht in der Cloud Wie sieht das Urheberrecht in der Wolke aus?
Logistik im E-Commerce: Prozesse rund um die Logistik.
E-Commerce-Logistik Logistik im E-Commerce
Facebook stellte die neue Suche
Facebook Facebooks Social Graph Search
Der BGH erklärt das Internet zur Lebensgrundlage.
Online-Recht Darauf müssen Sie bei den AGB achten
Weiter zur Startseite