Das kann die Typo 4.3-Version

Teil 2: CMS-Serie: Content Management System Typo3 4.3

  1. CMS-Serie: Content Management System Typo3 4.3
  2. Teil 2: CMS-Serie: Content Management System Typo3 4.3

Wer mit anderen Benutzern im Team arbeitet, wie in einer Redaktion üblich, wird an den neuen Editierfunktionen seine Freude haben. Dank neuer Javascript-Funktionen geht die Arbeit viel leichter von der Hand, indem sich das zeitaufwendige vollständige Neuladen der Webseite endlich erübrigt hat. Man kann erstmals in Typo 3 Version 4.3 Bestandteile der Website aktualisieren, zum Beispiel mit Drag-and-Drop ändern, ohne die gesamte Webseite neu zu laden.

Ebenfalls ein echter Produktivitätssprung ist der neue Uploader im Backend. Bisher musste man jede Datei einzeln auswählen. Jetzt kann man erstmals mehrere oder auch alle Dateien aus einem Verzeichnis auf einen Schlag auswählen und übertragen.

Open-ID-Authentifizierung

Typo 3 Version 4.3 glänzt aber auch durch weitere bemerkenswerte Verbesserungen an der Programmlogik. So können Frontend- und Backend-Benutzer sich die tägliche Arbeit enorm vereinfachen, indem sie eine einzige Netzidentität verwenden, um sich gegenüber dem Webserver auszuweisen, das heißt, anzumelden. Auf diese Weise entfällt die sicherheitskritische Speicherung von Typo-3-Logindaten auf dem Webserver.

Content-Management-Systeme

© Archiv

Der einzige bekannte Security Exploit ist mit Typo 3 Version 4.3 voraussichtlich hinfällig.

Stattdessen kann man sich eine sichere Netzidentität bei Verisign oder myOpenID verschaffen oder einen bestehenden Google- beziehungsweise Yahoo-Account zur Anmeldung in Typo 3 nutzen. Die Entwickler haben offenbar auf die Wünsche der Anwender gehört und sich bewusst ganz intensiv mit der Sicherheit in Typo 3 Version 4.3 befasst.

Als Resultat dieser Bemühungen werden die Passwörter für Frontend-Benutzer endlich verschlüsselt. Websites, die sich an große Anwenderkreise gerichtet haben, mussten bisher mit einer Erweiterung aus dem Typo 3 Extension Repository nachgerüstet werden, um dasselbe Ziel zu erreichen.

Rainbow-Tabellen-Angriffe abgeblockt

Typo 3 in der Version 4.3 bedient sich eines zusätzlichen Zufallswertes, um das Passwort zu speichern. Auf diese Weise laufen Rainbow-Table-Angriffe bei Typo 3 Version 4.3 erstmals ins Leere. Dies ist insofern von Bedeutung, da sich Rainbow-Tabellen in Hackerkreisen leider mittlerweile zum Standard entwickelt haben.

Rainbow Table ist eine von Philippe Oechslin entwickelte Datenstruktur, die eine effiziente, wahrscheinlichkeitsbasierte Suche nach Hash-Werten erlaubt. Der sogenannte Time Memory Tradeoff erlaubt die Suche nach fast allen Hashes in erstaunlich kurzer Zeit und zwar ohne alle Hashes wirklich physikalisch abspeichern zu müssen.

Das Rainbow-Table-Prinzip funktioniert bei Hash-Funktionen, die ohne die sogenannte Salt-Routine arbeiten, wie es bei den Passwörtern für Windows NT, bei älteren PHP-Installationen und erstaunlicherweise sogar bei vielen Routern noch der Fall ist. Am besten ist man bedient, wenn man mithilfe von Rainbow-Tabellen seine Passworte selbst testet und so ermittelt, ob sie nicht wider Erwarten zu trivial sind.

Deutsche Anwendergemeinde

Zwar ist der ursprüngliche Erfinder von Typo 3, Kasper Skarhoj, immer noch maßgeblich an der Entwicklung beteiligt, aber die Entwicklung fußt jetzt seit etwa April 2007 auf einem breiten Typo-3-Entwicklerteam mit starker deutscher Beteiligung. Typo 3 wird weltweit über 290.000 Mal eingesetzt und hat relativ hohe Anforderungen an die Leistungs- und Konfigurationsfähigkeit des Servers.

Typo 3 konnte über die Jahre eine starke deutsche Anwender- und Entwicklergemeinde gewinnen. So wurde die vierte, offizielle, internationale Typo-3-Konferenz 2008 in Berlin zum Grundstein der Förderung des FORM-Projektes.

Der größte Sponsor des FORM-Projektes war ein Netzwerk deutscher Universitäten und Hochschulen (dem die Universität Erfurt, Fachhochschule Erfurt, Technische Universität Ilmenau, Fachhochschule Nordhausen und die Bauhaus- Universität Weimar angehören), die mit eigenen Fördermitteln den Großteil der finanziellen Last getragen haben.

Fazit

Typo 3 in der Version 4.3 macht trotz der geringfügigen Änderung der Versionsnummer einen großen Sprung nach vorne. Das Update bringt neben der deutlich verbesserten Sicherheit und Usability die erstmalige Einführung eines Model-View-Controller-Frameworks (MVC) für Frontend-Extensions.

Das leistungsfähige Konzept erlaubt es, die gespeicherten Daten, die Ausgabe-Engine mit PDF oder HTML und die Prozesslogik sauber voneinander zu trennen. Die Komponentenbasierte Architektur beschleunigt die Entwicklung und Instandhaltung von Websites. Das MVC-Konzept, welches intensiv auf Flow 3 aufsetzt, ebnet den Typo-3-Entwicklern die Umstellung auf die nächste große Version Typo 3 5.0.

Rainbow-Tabellen

Unter dem Begriff Rainbow Table versteht man eine hochkomprimierte Repräsentation von zusammenhängenden Passwortsequenzen, den sogenannten Ketten (Chains).

Jede dieser Ketten beginnt mit einem Anfangskennwort, welches durch eine Hash-Funktion verarbeitet wird. Der resultierende Hash wird dann durch eine Reduktionsfunktion geführt, mit dem Resultat, dass ein weiteres mögliches Klartextkennwort gefunden wird.

Diese Vorgehensweise wird eine bestimmte Anzahl von Malen wiederholt und am Ende wird schließlich das erste Kennwort der Kette in Kombination mit dem letzten Hash-Wert abgespeichert.

Das Rainbow-Table-Konzept klappt erstaunlich gut. Man muss lediglich beim Generieren der Tabelle unbedingt beachten, dass einerseits kein Passwort, welches in einer Kette vorkommt, als Startpasswort genutzt werden darf. Sonst käme es zu dem äußerst ungünstigen, trivialen Fall, dass sich alle zulässigen Passworte in der Tabelle befinden und das wäre ganz sicherlich nicht im Sinne des Erfinders.

Content-Management-Systeme

© Archiv

Flow 3 wird die Grundlage für das künftige Typo-3-Version 5.0 (flow3.typo3.org).

Die Tabellen werden genau einmal erstellt und es kann dann bei Bedarf darin gesucht werden. Um ein Passwort herauszufinden, wird ein sogenannter Zweistufen-Prozess genutzt. In der ersten Stufe wird der Hash des herauszufindenden Passwortes durch die Hash-Reduktion-Sequenz verarbeitet, bis sich der Hash als rechte Seite der Tabelle ergibt.

Auf diese Weise erhält man das Startpasswort der Kette und kann im zweiten Schritt von diesem ausgehend die Hash-Reduktion-Sequenz anwenden, um das gesuchte Passwort abzuleiten.

Mehr zum Thema

Youtube Sperre umgehen GEMA
Videos freischalten

So umgehen Sie die GEMA-Sperre bei Youtube. Was Sie dazu brauchen, und wie es am einfachsten geht.
Neue Fritzboxen unterstützen den AC-Standard.
WLAN-Geschwindigkeit verdoppeln

Mehr WLAN-Geschwindigkeit: Mit dem WLAN-Standard 802.11ac und den richtigen Geräten und Einstellungen verdoppeln Sie den Datendurchsatz.
Netflix auf dem TV
Programm in der Übersicht

Welche Filme und Serien gibt es bei Netflix eigentlich zu sehen? Was ist neu im Streaming-Angebot? Diese Antworten helfen weiter.
Netflix
Streaming

Preise, kompatible Geräte, Datenrate, Serien- und Filmangebot von Netflix: Wir beantworten die wichtigsten Fragen rund um den Streaming-Dienst.
E.T. – Der Außerirdische
Vorschau auf Film- und Serien-Highlights

Amazon Prime Instant Video lockt im Dezember 2016 mit Film-Highlights wie "E.T.", "Fast & Furious 7" und der Serie "Ku’damm 56​".