eZ Info – Sicherheitsproblem
In den letzten Monaten habe ich öfter Entwickler in meinem eZ Publish Umfeld auf ein Sicherheitsproblem aufmerksam gemacht. Doch es gibt noch immer viele, die dieses Problem nicht sehen oder vielleicht nicht anerkennen. Warum?
Wolltest du schon immer wissen, welche Version und Erweiterung in einer eZ Website verwendet wird? Kein Problem. Wenn du Glück hast, kannst du diese Informationen auslesen, ohne den Quellcode lesen zu müssen. Über die URL ezinfo/about kann man das sehr leicht herausfinden. Dabei erfährt man auch die Versionen der Erweiterungen die für die Webseite verwendet werden.
Eines vorweg: Dies ist kein Leitfaden für den legalen Einbruch in ein eZ System.
Ich möchte nur endlich jedem nahe bringen, dass diese Informationsseite nicht nützlich sondern gefährlich ist. Doch bevor ich meine Beweggründe darlege, hier kurz eine Info, warum viele Entwickler diese Seite nicht abschalten.
Der Hauptgrund oder besser gesagt der einzige Grund ist, ich kann so über die Suchmaschinen schnell herausfinden, wer eine von mir entwickelten Erweiterungen nutzt. Sprich, es geht hier einerseits um das Copyright und anderseits um Marketingzwecke. Naja, ist im Grunde ja nicht verwerflich. Wer aber etwas cleverer ist, kann solche Seiten zu seinem persönlichen Vorteil nutzen. Hacker haben dann ein leichtes Spiel. Über die eZ Version und auch über die div. Erweiterungen kann man schnell herausfinden, wo die Sicherheitslücken sind, da man nicht immer das System auf den aktuellen Stand bringt.
Bitte, eZ Entwickler, eZ Partner & eZ Kunden – deaktiviert ezinfo/about !
Wer jetzt nicht weiß wie das geht:
Löscht den Eintrag aus euerer settings/override/site.ini.append.php
[RoleSettings]
PolicyOmitList[]
PolicyOmitList[]=user/login
PolicyOmitList[]=user/logout
PolicyOmitList[]=user/register
PolicyOmitList[]=user/activate
PolicyOmitList[]=user/success
PolicyOmitList[]=user/forgotpassword
PolicyOmitList[]=layout
PolicyOmitList[]=manual
# PolicyOmitList[]=ezinfo <-----
Eine andere Möglichkeit wäre eine Umleitung per RewriteRule.
https://blog.silversolutions.de/2012/03/b2b-technologie/ez-info-sicherheitsproblem/https://blog.silversolutions.de/wp-content/uploads/2012/03/Kathmandu-05.jpeghttps://blog.silversolutions.de/wp-content/uploads/2012/03/Kathmandu-05-150x150.jpgB2B.technologieSicherheit,Tipps & TricksIn den letzten Monaten habe ich öfter Entwickler in meinem eZ Publish Umfeld auf ein Sicherheitsproblem aufmerksam gemacht. Doch es gibt noch immer viele, die dieses Problem nicht sehen oder vielleicht nicht anerkennen. Warum? Wolltest du schon immer wissen, welche Version und Erweiterung in einer eZ Website verwendet wird? Kein Problem....David HohlDavid Hohldho@silversolutions.deEditorDavid Hohl ist seit 1995 Entwickler und Projektleiter und bringt langjährige Erfahrung mit eZ Publish mit. Bei silver.solutions war David 2012 bis 2014 als Entwickler, Konzeptionen und Projektleiter für eZ Publish Projekte verantwortlich. Er hat das eZ-Publish-Blog ins Leben gerufen.silver.solutions