Hi Unser Hoster wollte das nach einer Attacke mal einrichten. Mit standard Rules lief TYPO3 nur mehr oder weniger. Diverse Extensions und auch normale Backend / Frontend Anzeige bzw. Bedienung machte teils massiv Probleme.
Dann ging das tunen an den Rules los. Nach einigen Stunden (die Stundensätze sind auch nicht gerade billig) haben wir dann abgebrochen. Es brauchte einfach zuviele Ausnahmen und es lief immer noch nicht alles einfwandfrei. Ich denke mal, dass diese Ausnahmen auch wieder Löcher geöffnet haben, was ja nicht der Sinn von mod_security ist... Aber wenn jemand das hingekriegt hat, wäre ich also auch interessiert! Vorallem natürlich bei einem etwas komplexeren Setup (real URL, Mehrsprachig, alle möglichen Inhaltselemente, Newsletter, gängige Extensions wie tt_news etc. etc.) Gruss Marcel -----Ursprüngliche Nachricht----- Von: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Im Auftrag von Daniel Wissensbach Gesendet: Freitag, 2. Februar 2007 14:57 An: typo3-german@lists.netfielders.de Betreff: Re: [TYPO3-german] mod_security rules Hallo, da sich noch keiner gemeldet hat, noch mal die Frage: Benutzt keine von Euch mod_security und TYPO3? Kann ich mir gar nicht vorstellen, oder will nur keine rausrücken mit seinen Regeln? Gruss, Daniel Daniel Wissensbach schrieb: > Hallo TYPO3 Freunde, > > ich habe bislang schonmehrfahc einrbüche über TYPO3 gehabt, meistens > waren es SQL-Injections wie ich es ersehen konnte. > > Daher wollte ich neben anderen Sicherungen (suHOSIN etc) > > nun auch das mod_security Modul einsetzen. > > > Ich habe es mit den Standard core regelns als auch mit den erweiterten > gotroot.com regeln versucht. > > Mit allen läuft TYPO3 nicht zufriedenstellend. > > > z.B. einfache Bildaufrufe scheitern wie: > /index.php?eID=tx_cms_showpic&file=uploads%2Fpics%2Ftestpic.gif&width=800m&h eight=600m&wrap=%3Ca%20href%3D%22javascript%3Aclose%28%29%3B%22%3E%20%7C%20% 3C%2Fa%3E&md5=bd6c9d5da719bc7ef0be8df65d3119b2 > > > > Ich habe auch schon angefangen die Regeln entsprechend für TYPO3 zu > üatchen aber das ist echt sehr müsälig und die gefahr dass ich dadurch > wieder eine Lücke reinreisse ist echt gross. > > > Deshalb meine Frage, wie Eure Rules für mod_security und TYPO3 aussehen? > > Vielleicht kann man ja mal generelle Regeln entwerfen?!? > > > Wäre super wenn Ihr was postet oder mir direkt schickt. > > Grüße, > > Daniel _______________________________________________ TYPO3-german mailing list TYPO3-german@lists.netfielders.de http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-german _______________________________________________ TYPO3-german mailing list TYPO3-german@lists.netfielders.de http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-german
