Das OO in XOOPS

CMS-Serie: XOOPS vorgestellt

15.9.2009 von Redaktion pcmagazin und Anna Kobylinska

Sauberer OO-Code ist bei PHP-basierten CMS nicht selbstverständlich. XOOPS-Entwickler wollen beweisen, dass es auch anders geht.

ca. 2:05 Min
Ratgeber
  1. CMS-Serie: XOOPS vorgestellt
  2. Teil 2: CMS-Serie: XOOPS vorgestellt
  3. Teil 3: CMS-Serie: XOOPS vorgestellt
  4. Teil 4: CMS-Serie: XOOPS vorgestellt
XOOPS
XOOPS
© Archiv

Wer bei XOOPS eine OO-Architektur vermutet, hat den Nagel genau auf den Kopf getroffen. XOOPS steht für eXtensible Object Oriented Portal System, ein erweiterbares objektorientiertes Portal-System. Es wurde modular konzipiert und objektorientiert programmiert (daher das "OO" im Namen).Zu den führenden Köpfen bei der XOOPS-Entwicklung zählt Justin Erenkrantz, der Vorsitzende der Apache Software Foundation. Er ist maßgeblich an der Entwicklung des http-Servers Apache, der Laufzeitbibliothek Apache Portable Runtime und nebenbei auch des Versionskontrollsystems Subversion beteiligt.XOOPS zeichnet sich durch sauberen und erweiterbaren Code aus. Das System besteht aus einem Kern, der die Basisfunktionalität bereitstellt und Module lädt. Um konkrete Aufgaben wie den Austausch von privaten Nachrichten zwischen Mitgliedern oder die Bereitstellung von News-Feeds kümmern sich ladbare Erweiterungen.

Für das Zusammenstellen der Webseiten zeichnet seit XOOPS 2.0 die kompilierende Template- Engine Smarty verantwortlich. XOOPS unterliegt der GPL-Lizenz und dementsprechend sind auch alle Module kostenlos.

Installation mit manuellen Sicherheitsvorkehrungen

Das Installationsskript ist durchdacht und hat eine gewisse Eleganz. Dennoch lassen sich einige manuelle Angriffe in die Verzeichnisstruktur, wie das Erstellen von Verzeichnissen, bei der Einrichtung der aktuellen Version 2.3.x leider nicht vermeiden.

Das wäre an sich nicht weiter schlimm, nur empfiehlt das Installationsskript ganz am Anfang einige Sicherheitsvorkehrungen, die sich aber erst nach Abschluss der Installation umsetzen lassen. Viel sinnvoller wäre ein Aufruf des Moduls protector, das dem Webadmin mit sehr hilfreichen Sicherheitshinweisen gezielter unter die Arme greifen kann (Administration Menu > protector > Security Advisory).

Mit seiner respektablen Vorgeschichte im Bereich der Sicherheit braucht sich XOOPS vor anderen Systemen nicht zu verstecken. Dennoch wurden Anfang dieses Jahres gleich mehrere Sicherheitslücken bekannt.

Eine davon wurde erstmals in der Version 2.3.2 entdeckt und betrifft das protector-Modul.

Dieses schützt eine XOOPS-Installation vor Angriffen wie Denial of Service, SQL Injection oder Variablen-Verseuchung (variable contamination) und doch verursacht gerade dieses Modul ironischerweise je nach Konfiguration des PHP-Systems unter Umständen selbst eine ernst zu nehmende Sicherheitslücke mit. In den Dateien

• xoops_lib/modules/protector/oninstall.php • xoops_lib/modules/protector/onupdate.php • xoops_lib/modules/protector/notification.php • xoops_lib/modules/protector/onun-install.php

wird die Eingabe des Parameters mydir-name nicht korrekt bereinigt, bevor er an ein eval()-Statement weitergegeben wird. Diese Sicherheitslücke kann das Ausführen von bösartigem PHP-Code ermöglichen.

Durch das Abschalten von register_globals mittels register_globals = Off wird diese Sicherheitslücke neutralisiert. In künftigen Versionen von PHP wird sich das mit dem Wegfall von register_globals von selbst lösen.

Content-Management-Systeme
Der Installationsassistent bemüht, sich zu helfen.
© Archiv

Außerdem setzt das Installationsskript die Konfigurationsvariable XOOPS_TRUST_PATH auf XOOPS_PATH und diese wiederum auf das Verzeichnis xoops_lib im Verzeichnis xoobs_data innerhalb des Web-Root-Verzeichnisbaumes, was die Integrität des Systems kompromittieren könnte.

Sie können hier Abhilfe schaffen, indem Sie das Verzeichnis xoobs_lib außerhalb des Dokument-Verzeichnisses des Webservers verschieben und es umbenennen. Danach müssen Sie in mainfile.php die betreffenden Pfade anpassen. Alternativ können Sie mittels .htaccess den Zugriff auf das Verzeichnis xoobs_lib sperren.

Mehr lesen

Chronologische Liste und Netflix-Links

Marvel-Filme- und -Serien: Das ist die richtige Reihenfolge

Neuerscheinungen in der Übersicht

Netflix: Neue Filme und Serien

Vorschau auf Film- und Serien-Highlights

Amazon Prime Video: Neuheiten

Weiter zur Startseite  

Mehr zum Thema

internet, webdesign, adobe,  Illustrator, CS6

Webdesign

Webdesign in Adobe Illustrator CS6

Adobe Illustrator wird im Webdesign immer beliebter. Wie Sie das Tool richtig einsetzen, erfahren Sie hier.

Facebook stellte die neue Suche

Facebook

Facebooks Social Graph Search

Was sind die Implikationen für Unternehmen und Endanwender bei Facebooks neuer Suche Graph Search?

Der BGH erklärt das Internet zur Lebensgrundlage.

Online-Recht

Darauf müssen Sie bei den AGB achten

Allgemeine Geschäftsbedingungen liest sich niemand gerne durch. Sie sind jedoch notwendig und äußerst sinnvoll. Worauf sie achten sollten.

Online-Urheberrecht: Unser Ratgeber bietet Tipps für das Cloud-Recht.

Online-Recht in der Cloud

Wie sieht das Urheberrecht in der Wolke aus?

Dateien werden immer häufiger in der Cloud bereitgestellt. Rechtlich ist das jedoch durchaus problematisch. Wir klären über das Urheberrecht in der…

Logistik im E-Commerce: Prozesse rund um die Logistik.

E-Commerce-Logistik

Logistik im E-Commerce

Für den Erfolg eines Online-Shops sind zahlreiche Faktoren verantwortlich. Neben Produktvielfalt und Darstellung der Waren gehört auch die Logistik.