A.8 Sicherheit ohne globale Variablen

Submitted by Hagen Graf on 7. January 2008 - 17:25

Ältere Versionen von Mambo und Joomla! verlangten standardmäßig eine PHP-Einstellung mit dem Namen register_globals = on. Bei diesem Schalter geht es um die Sichtbarkeit globaler Variablen, die unter anderem von außen per Formular oder GET-String in die Programme gelangen können.

Diese Einstellung birgt grundsätzliche Sicherheitsprobleme, und es ist besser, wenn Sie die Einstellung register_globals = off verwenden. Obwohl dieser Schalter Sie nicht vor allen Problemen schützt, hilft er doch schon ungemein, die Sicherheit zu erhöhen.

Es war und ist möglich, diese Einstellung auch in älteren Mambo- und Joomla!-Versionen zu verwenden. Seit Joomla! 1.0.11 wird sogar im Administrator Interface mit einer deutlichen Warnmeldung auf die on-Variante hingewiesen und die off-Einstellung empfohlen.

Bei Joomla! 1.5.x ist, wie bereits in Joomla! 1.0.11, standardmäßig register_globals = off vorgesehen. Der Kern von Joomla! wird sicher und stabil mit dieser Einstellung funktionieren.

Zu Thema Sicherheit finden Sie ebenfalls Hinweise auf der joomla.org-Website. Es gibt für Joomla! 1.0 eine Administrator's Security Checklist, die auch komplett für Joomla! 1.5 gilt 4.

Exkurs

Bezüglich Ihrer Erweiterungen müssen Sie herausbekommen, ob diese ebenfalls mit der Einstellung funktionieren. Zum heutigen Zeitpunkt benutzen manche Erweiterungen noch globale Variablen. Seit dem Erscheinen von Joomla! 1.0.11 (September 2006) sind allerdings auch viele Kunden durch die deutliche Hinweismeldung auf das Problem aufmerksam geworden, und so werden die betroffenen Erweiterungen vermutlich schnell angepasst.

»