«

»

Mrz 16 2012

eZ Info – Sicherheitsproblem

In den letzten Monaten habe ich öfter Entwickler in meinem eZ Publish Umfeld auf ein Sicherheitsproblem aufmerksam gemacht. Doch es gibt noch immer viele, die dieses Problem nicht sehen oder vielleicht nicht anerkennen. Warum?

Wolltest du schon immer wissen, welche Version und Erweiterung in einer eZ Website verwendet wird? Kein Problem. Wenn du Glück hast, kannst du diese Informationen auslesen, ohne den Quellcode lesen zu müssen. Über die URL ezinfo/about kann man das sehr leicht herausfinden. Dabei erfährt man auch die Versionen der Erweiterungen die für die Webseite verwendet werden.

Eines vorweg: Dies ist kein Leitfaden für den legalen Einbruch in ein eZ System.

Ich  möchte nur endlich jedem nahe bringen, dass diese Informationsseite nicht nützlich sondern gefährlich ist. Doch bevor ich meine Beweggründe darlege, hier kurz eine Info, warum viele Entwickler diese Seite nicht abschalten.

Der Hauptgrund oder besser gesagt der einzige Grund ist, ich kann so über die Suchmaschinen schnell herausfinden, wer eine von mir entwickelten Erweiterungen nutzt. Sprich, es geht hier einerseits um das Copyright und anderseits um Marketingzwecke. Naja, ist im Grunde ja nicht verwerflich. Wer aber etwas cleverer ist, kann solche Seiten zu seinem  persönlichen Vorteil nutzen. Hacker haben dann ein leichtes Spiel. Über die eZ Version und auch über die div. Erweiterungen kann man schnell herausfinden, wo die Sicherheitslücken sind, da man nicht immer das System auf den aktuellen Stand bringt.

Bitte, eZ Entwickler, eZ Partner & eZ Kunden – deaktiviert ezinfo/about !

Wer jetzt nicht weiß wie das geht:

Löscht den Eintrag aus euerer settings/override/site.ini.append.php


[RoleSettings]
PolicyOmitList[]
PolicyOmitList[]=user/login
PolicyOmitList[]=user/logout
PolicyOmitList[]=user/register
PolicyOmitList[]=user/activate
PolicyOmitList[]=user/success
PolicyOmitList[]=user/forgotpassword
PolicyOmitList[]=layout
PolicyOmitList[]=manual
# PolicyOmitList[]=ezinfo <-----

Eine andere Möglichkeit wäre eine Umleitung per RewriteRule.

Über den Autor

David Hohl

Seit 1995 Entwickler und Projektleiter. Langjährige Erfahrung mit eZ Publish. War von 2012 bis 2014 bei silver.solutions als Entwickler, Konzeptionen und Projektleiter für eZ Publish Projekte verantwortlich.

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Sie können diese HTML-Tags verwenden: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>