Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:security [2011-02-27 15:04] – [Sicherheits Probleme melden] 91.64.63.110
+++ de:security [2019-12-29 19:34] (aktuell) – [Sicherheit] Typo cziehr
@@ Zeile 1: / Zeile 1: @@
 ====== Sicherheit ======
-Allgemeine Information zum absichern von Webanwendungen gibt es auf der [[discussion:security|Security Diskussions-Seite (en)]].
+DokuWiki ist eine Webanwendung und wird häufig auf öffentlichen Servern verwendet, welche über das Internet erreichbar sind. Folglich besteht ein höheres Risiko, einem böswilligen Angreifer ausgesetzt zu sein, als dies vergleichsweise bei lokalen Desktop-Anwendungen der Fall ist.
+DokuWiki wurde maßgeblich unter dem Gesichtspunkt der //Sicherheit// entwickelt. Zwar sind wir im Verhältnis zur Benutzerfreundlichkeit stets um ein Gleichgewicht bemüht. Im Falle mangelnder, zufriedenstellender Kompromisse jedoch, hat die Sicherheit für uns letzten Endes immer die höchste Priorität.
-===== Informations-Quellen bzgl. Sicherheit von Dokuwiki =====
+Diese Seite soll dir einen Überblick darüber verschaffen, welche Aspekte es zu beachten gilt, um selbst ein sicheres DokuWiki zu betreiben.
+===== Sicherheitsprobleme melden =====
+Solltest du auf ein Sicherheitsproblem in DokuWiki stoßen, so bitten wir um eine Benachrichtigung, bevorzugt auf einem der folgenden Wege:
+  * Sende einen [[bugs|Fehlerbericht]]
+  * Sende eine Mail an die [[mailinglist|Mailingliste]]
+Ausgenommen sind schwerwiegende Fehler, bei denen die Veröffentlichung des Fehlers vor der Veröffentlichung eines Patches die DokuWiki-Installationen weltweit gefährden könnte. In diesem Fall bitten wir um schnellstmöglich Benachrichtigung ausschließlich über
+  * eine private Mail an [[andi@splitbrain.org]]
+Abhängig vom Schweregrad eines gefundenen Sicherheitsproblems, werden wir es (bei sehr geringfügigen Problemen) in einer zukünftigen Version beheben oder andernfalls eine Bugfix-Version erstellen. In letzterem Fall werden die Benutzer bei Veröffentlichung über den Update-Mechanismus informiert.
 Um über Sicherheits-Probleme bezüglich DokuWiki auf dem neusten Stand zu sein abonniere am besten den [[http://freshmeat.net/subscribe/48181/|DokuWiki-Feed (en)]] vom [[http://freshmeat.net/projects/dokuwiki/|DokuWiki Projekt auf Freshmeat]]. Dafür ist allerdings ein Freshmeat-Zugang erforderlich.
-Alle sicherheitsrelevanten Bugs kann man unter der Kategorie [[http://bugs.splitbrain.org/index.php?tasks=all&project=1&type=1&cat=5&status=all|Security (en)]] im [[bugs|bugtracker (en)]] finden.
+Alle vorhergehenden Sicherheitsprobleme können in unserem [[http://bugs.dokuwiki.org/index.php?tasks=all&project=1&type=1&cat=5&status=all&perpage=20|Bugtracking-System]] eingesehen werden.
+Du solltest auch immer darauf achten, die aktuellste Version von DokuWiki zu verwenden, da für ältere Versionen keine Sicherheitsupdates mehr veröffentlicht werden.
-===== Sicherheitsprobleme melden =====
+===== Web Access Security =====
+DokuWiki speichert die Konfiguration, als auch die Seiteninhalte in Dateien. Diese Dateien sollten niemals direkt aus dem Internet zugänglich sein. Das Distributions-Tarball enthält eine Reihe von .htaccess-Dateien, mit denen der Apache-Webserver normalerweise angewiesen wird, den Zugriff auf bestimmte Verzeichnisse zu verweigern.
+**Falls du den Apache-Webserver nicht verwendest bzw. dein Apache-Webserver keine .htaccess-Dateien verwendet, solltest du deine Installation manuell sichern.**
+Folgende Verzeichnisse sollten nicht über das Internet erreichbar sein:
-Wenn du ein Sicherheits-Problem in DokuWiki findest, melde es bitte erst einem Entwickler. Sprich am besten den Haupt-Entwickler [[http://www.splitbrain.org/personal|Andi]] darauf an.
+  * ''data''
+  * ''conf''
+  * ''bin''
+  * ''inc''
+  * ''vendor''
-Alternativ hast du die Möglichkeit einen [[bugs|Fehler zu melden]]. Beachte aber, dass eine solche öffentliche Fehlermeldung von vielen Menschen gelesen werden kann.
+Um zu überprüfen, ob du deine Zugriffsberechtigungen anpassen musst, versuche auf ''%%http://yourserver.com/data/pages/wiki/dokuwiki.txt%%'' zuzugreifen. Du solltest im Normalfall auf diese Weise keinen Zugriff auf die Datei erhalten.
 ===== Sichere Installation von DokuWiki =====
@@ Zeile 21: / Zeile 46: @@
 Bei einer normalen Konfiguration kann jeder das Installationsskript ausführen. Es wäre also empfehlenswert die Zugriffsrechte während der Installation so anzupassen, dass nur Du darauf zugreifen kannst.
-Hast du einen Apache Webserver, musst du nur eine Datei .htaccess im DokuWiki-Verzeichnis auf dem Webserver anlegen (falls nicht schon vorhanden) und um folgende Zeilen erweitern:
+Hast du einen Apache Webserver, musst du nur eine Datei .htaccess im DokuWiki-Verzeichnis auf dem Webserver anlegen (falls nicht schon vorhanden) und folgende Zeilen hinzufügen:
 <code>
@@ Zeile 32: / Zeile 57: @@
 Um die IP-Adresse deiner Netzwerkkarte herauszufinden benutzt du für POSIX-Betriebssysteme(Linux,Unix,...) "ifconfig eth0" und für Windows "ipconfig /all" in einer Kommandozeile.
-:!: In vielen Situationen kann deine IP-Adresse nicht nur dir zugeordnet sein. Wenn du z.B. einen Router in deinem Netzwerk einsetzt oder einen Proxy verwendest haben mehrere Nutzer gleichzeitig die selbe externe Ip-Adresse! Diese Nutzer könnten somit auch das Installationsskript zugreifen.
+:!: In vielen Situationen kann deine IP-Adresse nicht nur dir zugeordnet sein. Wenn du z.B. einen Router in deinem Netzwerk einsetzt oder einen Proxy verwendest haben mehrere Nutzer gleichzeitig die selbe externe Ip-Adresse! Diese Nutzer könnten somit auch auf das Installationsskript zugreifen.
 Nach der Installation und nachdem du die install.php gelöscht hast, musst du diese zwei Zeilen wieder entfernen, damit wieder jeder auf dein Wiki zugreifen kann.