[Garfieldius]

Im aktuellen, oder im letzten, T3N, war beim Thema Security der Vorschlag, einen eigenen DB Benutzer für das Frontend zu erstellen. Das finde ich keine schlechte Idee, da man im Frontend, so gefährliche Befehle wie DROP oder ALTER nicht braucht.

Fragt sich nur wie! Hat jemand damit Erfahrung? Oder gibt's gar eine Extension dafür?

[mstuebner]

Das hat aber nichte mit FE zu tun, sondern mit DB User an sich. Dein Post lässt die Vermutung zu, dass Du davon ausgehst, dass FE und BE unterschiedliche DB-User nutzen, was aber nicht der Fall ist.

Die "Extension" zum Einstellen heisst Install-Tool.

[Garfieldius]

Das Frontend wird ja bekanntlich über /index.php aufgerufen, das Backend über /typo3/index.php. Dadurch kann man doch unterscheiden, welcher DB Benutzer verwendet werden soll. Die Frage ist nur wie.

Das beide Teile den gleichen DB Benutzer benutzen, ist mir schon klar, deswegen ja die Frage nach einer Extension (oder sonst irgendwas, vielleicht sogar ein Core-Hack) der das ändert.

[mstuebner]

Zitat:

Zitat von Garfieldius

Das beide Teile den gleichen DB Benutzer benutzen, ist mir schon klar, deswegen ja die Frage nach einer Extension (oder sonst irgendwas, vielleicht sogar ein Core-Hack) der das ändert.

Wozu soll das gut sein? Sowohl BE als auch FE User erstellen Seiten und Inhalte und benötigen daher die gleichen Rechte. Was bringt es nun bitte den Core umzuschreiben, um zwei DB Benutzer mit den selben Rechten zu benutzen?

[Garfieldius]

Der BE User kann z.B.: auch Extensions installieren. Damit verbunden sind z.B.: CREATE TABLE Anweisungen, bzw. auch DROP TABLE und ALTER TABLE Anweisungen. Wenn jemand im Frontend per SQL Injection so eine Anweisung irgendwie einbringen kann, wird das gefährlich.

Solche Rechte sind im BE wichtig, im FE aber überflüssig, weshalb es doch möglich sein muss.

[mstuebner]

Zitat:

Zitat von Garfieldius

Solche Rechte sind im BE wichtig, im FE aber überflüssig, weshalb es doch möglich sein muss.

In der Theorie sicher richtig, aber schau Dir mal in der Praxis an wie "viele" Security-Bulletins in den letzten Jahren erschienen sind und das bei der Anzahl der Installationen.

Egal, theoretisch hast Du recht, also musst Du das wohl umschreiben. Es wäre gut, wenn Du Deine "Extension" hier zum Test stellst wenn sie fertig ist.