FAQ
Häufige Fragen
Erkennung der TYPO3-Version
Wieso habt ihr einen Algorithmus zur Versionserkennung geschrieben?
Es gibt bereits einige Ansätze zur Versionserkennung bei TYPO3, wie die Webseite www.t3versions.com von Torben Hansen, auf der man eine TYPO3-Version ermitteln lassen kann. Dabei wird jedoch nur die Major- und Minor-Version als Ergebnis angezeigt und nicht das konkrete Patch-Level ermittelt, welches für eine Aussage zur Aktualität der TYPO3-Version zwingend notwendig ist. Auch andere Sicherheitsforscher haben bereits Algorithmen für andere Systeme entwickelt (z. B. im Rahmen des Papers "Cross-Origin Web Service Identification“ von Dresen et al.), die aber in Ihrer Genauigkeit in unseren Tests noch Schwächen aufwiesen.
Wie hoch ist die Genauigkeit der erkannten Versionen?
Die Genauigkeit der vom Tool erkannten Versionen wurde in einer Whiteboxumgebung (neu installierte TYPO3 Instanzen) getestet. Dabei hat das Tool rund 76% der 99 getesteten Versionen exakt erkannt. Bei den restlichen Versionen wurde ein Versionsbereich erkannt, in dem ebenfalls die richtige Version beinhaltet war. Ein Beispiel dafür wäre Version 9.5.12 von TYPO3. Das Tool hat dabei einen Bereich von 9.5.12 bis 9.5.13 erkannt. Zusätzlich wird der erkannte Versionsbereich intern validiert, um fehlerhafte Ausgaben zu verhindern.
Wie erfolgt die Erkennung der TYPO3-Version?
Die Erkennung der eingesetzten TYPO3-Version erfolgt in mehreren Schritten. Wir beginnen dabei schon deutlich bevor Sie diese Webseite besucht haben.
Versionscharakteristiken indexieren
Um eine Aussage darüber zu treffen, welche TYPO3-Version genau vorliegt, identifizieren wir sogenannte Versionscharakteristiken bei TYPO3 automatisch. Die Versionscharakteristiken stellen dabei Fingerprints dar. Als Ausgangspunkt für die Erstellung der Charakteristika wird das offizielle TYPO3 Git-Repository genutzt. Hier können wir eine Liste aller existierenden Versionen sowie die Zustände einer Datei während einer spezifischen Version, abfragen. Wir werten dabei aus, welche Dateien in welcher Version erstellt, gelöscht, umbenannt, geändert oder unverändert geblieben sind. Wir beschränken uns bei der Versionserkennung auf solche Dateien, die öffentlich über den Webserver erreichbar sind.
Versionscharakteristiken bei Webseite erkennen
Wie bei jeder Software bringt ebenfalls ein CMS seine eigenen Dateien, vor allem für den Backendbereich, mit. Manche dieser Dateien sind unter speziellen Routen öffentlich abrufbar. Diese öffentlich abrufbaren Ressourcen eines CMS können durch die zuvor vorgenommene Indexierung der Versionscharakteristiken für die Erkennung der Version genutzt werden. Durch einen Algorithmus wird dabei die Abfrage dieser Dateien optimiert, um bei den Servern so wenig zusätzliche Last wie nur möglich zu erzeugen.
Bedienung & Datenschutz
Wieso muss ich eine E-Mail-Adresse eingeben, um die Ergebnisse zu sehen?
Die E-Mail-Adressen werden nicht gespeichert. Diese Maßnahme soll sicherstellen, dass nur der Websitebetreiber selbst die Ergebnisse auslesen kann und nicht unbefugte Dritte. Auf diese Art und Weise möchten wir verhindern, dass eine Liste unsicherer TYPO3-Webseiten durch Dritte erstellt werden kann.
Welche E-Mail-Adressen gelten als privilegiert?
Um die Ergebnisse zu Ihrer Webseite abrufen zu können, benötigen Zugriff auf mindestens eine der folgenden E-Mail-Adressen:
- admin(at)domain.de
- administrator(at)domain.de
- info(at)domain.de
- hostmaster(at)domain.de
- postmaster(at)domain.de
- webmaster(at)domain.de
- privacy(at)domain.de
- security(at)domain.de
- sysadmin(at)domain.de
- tech(at)domain.de
- mail(at)domain.de
- post(at)domain.de
- contact(at)domain.de
- it(at)domain.de
- ops(at)domain.de
- development(at)domain.de
- dev(at)domain.de
- server(at)domain.de
Ich habe keinen Zugriff auf eine privilegierte E-Mail-Adresse meiner Domain. Was nun?
Kontaktieren Sie Ihren zuständigen Serveradministrator und lassen Sie sich ein entsprechendes Postfach einrichten. Es kann ebenfalls ein Catchall-Postfach zum Einsatz kommen.
Kann ich mich bei Ihnen authentifizieren?
Wir können Sie elektronisch nicht authentifizieren und bitten Sie daher nicht diesbezüglich anzufragen.
Werden die Ergebnisse gespeichert?
Wir speichern die Ergebnisse der Versionsüberprüfung, damit Sie diese zu einem späteren Zeitpunkt erneut aufrufen können. Nach 90 Tagen anonymisieren wir alle URLs. Ein Verkauf der Daten findet NICHT statt.
Absicherung von TYPO3 gegen Versionserkennung
Bis zur Version 6.2 wird im Frontend die Major und Minior Version von TYPO3 mit ausgegeben. Über einen Zusatz in Ihrem TypoScript können Sie dies verhindern.
config.additionalHeaders.90.header = t3versions: hide-major
Unser Tool nutzt jedoch weitere Ansätze für die Versionserkennung. Diese können von Ihnen unterbunden werden, indem Sie die Route "/typo3" unter dem das Backend Ihrer TYPO3 Instanz erreicht werden kann, vom Internet aus blockiert wird. Bitte beachten Sie: Die Versionsnummer zu verschleiern erhöht NICHT die Sicherheit Ihrer TYPO3-Instanz. Wir nennen diesen Ansatz security by obscurity - also Sicherheit durch Vernebelung. Unter Sicherheitsforschern ist dieser Ansatz höchst umstritten und der Effekt für die Sicherheit nahezu nicht nachweisbar.
Die Initiatoren & Support
Wer steckt hinter diesem Projekt?
Dieses Projekt wird von der MÜNSMEDIA GmbH aus Magdeburg initiiert und betrieben. Wir sind eine Webagentur mit 10+ Mitarbeiter*innen und erstellen Webseiten mit den CMS TYPO3, NEOS und WordPress. Wir sorgen uns um die Sicherheit unserer Kunden-CMS und beschäftigen uns schon länger mit dem Thema IT-Sicherheit.
Im Rahmen einer Bachelorarbeit und eines Förderprojektes ist dieses Projekt entstanden.
An wen kann ich mich bei Fragen wenden?
Für Anfragen zur Erweiterung des Tools und zum Einsatz in Ihrem Unternehmen, Ihrer Agentur steht Ihnen Herr Nino Müns unter 0391-50549380 und info(at)muensmedia.de gerne zur Verfügung.
Fragen zur Methodik leiten wir intern an unseren Mitarbeiter zur Beantwortung weiter.