Sicherheit in der Webentwicklung

Generell prüfen wir bei jedem Projekt, ob folgende Sicherheitsaspekte berücksichtigt werden können:

Passwortschutz

  • Generelle Verwendung von sicheren Kennwörtern

  • Regelmäßige Aktualisierung von Kennwörtern

  • Keine Standard-Benutzernamen

Backend

  • Verwendung von SSL (https)

  • Installation Tool deaktivieren bei TYPO3

  • RSA Authentification

  • Passwort Salt für Kennwörter

  • Zusätzlicher .htaccess Passwortschutz

  • Freigabe nur für bestimmte IPs oder IP Bereiche (lock to ip)

  • Session/IP Bindung (session-stealing)

Server

  • Sichere Webserver/PHP/TYPO3 Konfiguration

  • Angepasstes Logging-Level und regelmäßige Auswertung

  • Firewall

Entwicklung

  • Verwendung von TYPO3-Extensions mit Status „reviewed“

  • SQL Injection (Verwendung des TYPO3 Frameworks)

  • XSS (Cross Site Scripting) / Geeignete Tests

  • CSRF (Cross Site Request Forgery) / Geeignete Tests

  • Abonnement des TYPO3 Security Newsletters

  • Kurze Reaktions- und Testzeiten bei wichtigen Core Updates

  • Direkte Zusammenarbeit mit dem TYPO3-Security-Team