Die System Extensions dbal und adodb ermöglichen es, eine andere Datenbank als MySQL zu verwenden. Auf einem Linux System bietet sich als alternative die Datenbank PostgreSQL an. Da sie ebenfalls OpenSource ist sie in der Regel in den Linux-Distribitionen einfach zu installieren.

Ist TYPO3 dank Datenbank Abstraktionslayer dbal wirklich in der Lage mit beliebigen Datenbanken zusammen zu arbeiten? Der Selbstversuch mit PostgreSQL soll es zeigen

Grundsätzlich zeigt die Erfahrung, dass TYPO3 sehr sicher ist. Aber ab- und an kommt es vor, dass eine Sicherheitslücke gefunden wird. Manche sind meiner Meinung nach nicht ganz so kritisch, manche allerdings sehr.

Leider scheint diese Information an einigen vorbei zu gehen, so dass immer noch zahlreiche anfällige TYPO3 Seiten im Internet zu finden sind.

Vermutlich ist das vergleichbar mit Eingangstüren - wer weiß schon, ob seine Tür einfach oder schwer zu öffnen ist. Und selbst wenn die Tür nicht den besten Sicherheitsstandards entspricht - bei mir gibt es nichts zu holen.

Das selbe Argument höre ich manchmal wenn es um Webseiten geht, "Wenn die gehackt wird, packen wir das Backup wieder drauf" oder "Wer hat schon daran Interesse?". Das Problem ist, anders als bei der Wohnungstür, kann jeder mit Internetzugang per Google seine Ziele automatisiert suchen lassen. Und wenn er die Seite gehackt hat, wird er vermutlich keine sichtbaren Spuren hinterlassen. Er baut Schadcode ein, durch den die Besucher der Seite mit Viren und Trojaner verseucht werden, er versendet Spam von Ihrem Server oder baut eine Tauschbörse für illegale Dateien auf Ihrem Server auf. Und dabei ist es egal, ob er Ihr Nachbar ist, oder er aus Brasilien, China oder Nigeria kommt. Es braucht nur eine Internetverbindung zu Ihrer virtuellen Wohnungstür. Sie sind also weltweit erreichbar, auch für Hacker!

Ich habe ein kleines Skript geschrieben, mit dem auf die schnelle überprüft werden kann, ob Ihre TYPO3 Seite von der Lücke betroffen ist Sie müssen nur Ihre Webseite eingeben und wenn das Skript die Lücke findet, dann bekommen Sie einen entsprechenden Hinweis. Allerdings muss ich dazu sagen, der Test kann natürlich keine Garantie dafür sein, dass Ihre Seite sicher ist - nur, dass sie unsicher ist.

Was auch immer der Test zeigt, schließen Sie mit Ihrem TYPO3 Dienstleister einen Vertrag über regelmäßige Updates - oder wenn Sie Ihre Seite selber managen, dann spielen Sie regelmäßig die aktuellen Updates ein und vergessen Sie nicht die Security Announce Liste zu abbonieren!

Weitere wichtige Sicherheitstipps gibt es auf der TYPO3 Security Team Seite und in dem Blog von Martin Sauter.

Die TYPO3 System-Extension indexed_search ist meiner Meinung nach nicht so schlecht wie ihr Ruf. Zum einen, muss berücksichtigt werden, dass die Extension alle möglichen Features unterstützt. Sie ermöglicht es, nur bestimmte Bereiche zu verwenden, kann direkt mit dem Seitenaufruf oder per CLI-Skript gestartet werden, berücksichtigt Benutzer Berechtigungen genau so wie die Spracheinstellungen.

Allerdings unterstützt Sie nicht die Volltextsuche von MySQL sondern erstellt eine eigene Relationen-Tabelle, in der für jedes Wort gespeichert wird, auf wleche Seite es vorkommt. Dabei steht jede Sprachversion und jede Parameter-Variation für eine Seite. Wenn verschiedene Benutzergruppen existieren wird dieses noch mit den möglichen Benutzergruppen Kombinationen multipliziert.