Инструменты TYPO3 позволяют создать сайт любого типа. Внедрение мультифункциональных решений обеспечивает работоспособность проекта при высоких нагрузках. Визуализация разнообразных шаблонов страниц, онлайн обработка изображений (обрезки), слайдеры, мультиязычность, масштабирование и адаптация под мобильные устройства.
Отчет: Google CMS Security Summit 2020 в Мюнхене
В этом году мероприятие состоялось в Мюнхене, Германия, и Оливер Хадер, Бенни Мак и Торбен Хансен из группы безопасности (Security Team) представляли TYPO3.
После незапланированной встречи со всеми участниками вечером перед мероприятием мы провели два полных дня в Google Мюнхене и Центре информационной безопасности (Information Security Hub - ISH), чтобы узнать о новых и предстоящих разработках в области веб-безопасности.
Технология безопасности
Было проведено множество отличных презентаций и ярких выступлений по сетевым технологиям и технологиям безопасности, безопасности конечных пользователей и конфиденциальности данных, снижению потенциала внедрения и методам изоляции для распределенных запросов.
- Strict Content Security Policy, Trusted Types и Scripting Policy для миграций инжекторов, таких как XSS.
- Cross-Origin Resource Policy (CORP), Политика Embedder, и Securer Contexts усилить изоляцию и смягчить атаки по сторонним каналам.
- Основные понятия об инструментах и средах для защиты экосистемы CMS.
- OpenSK, ключ безопасности с открытым исходным кодом, который будет использоваться для многофакторной аутентификации.
- SameSite Cookie принудительное применение и конфиденциальность браузера Sandbox, улучшающая межсайтовую конфиденциальность.
- Потенциал стандартов PSR-9 и PSR-10 PHP.
- Virus Total API кластеризовать и классифицировать потенциальные вредоносные программы в сети.
- Web Almanac 2019 Security аспекты.
Секционные заседания
Секционные заседания позволили участникам участвовать в нерегламентных дискуссиях по темам, связанным с безопасностью:
- Быстрое обнаружение и быстрое реагирование/предотвращение
- Инструменты безопасности и API
- Автоматические обновления
- Стандартизированная рассылка бюллетеней по безопасности
- Координация окон безопасности для проектов
- Двухфакторная аутентификация по умолчанию для разработчиков и администраторов CMS
- Лучшие инструменты статического анализа кода, которые позволяют предотвращать
- Сигналы безопасности/оценка в Chrome Dev Tools
- Улучшения безопасности финансирования в CMS
Отличная инициатива - спасибо Google!
Для TYPO3 мероприятие прошло с большим успехом, было много полезного и содержательных обсуждений. Он также привлек внимание к нескольким темам, над которыми мы будем работать над повышением безопасности TYPO3 и его экосистемы, таким как применение куки-файлов SameSite, расширение охвата статическим анализом кода и уточнение документации по нашему процессу.
Мы хотели бы поблагодарить Google за организацию мероприятия и всех участников за активную и увлеченную работу по повышению безопасности.
Дальнейшее чтение
- Strict CSP (on csp.withgoogle.com)
- Trusted Types (on research.google)
- Scripting Policy (on mikewest.github.io)
- CORP (on fetch.spec.whatwg.org)
- Securer Contexts (on github.com/mikewest)
- OpenSK (on github.com/google)
- SameSite cookie enforcement (on blog.chromium.org)
- Privacy Sandbox (chromium.org)
- PSR-9/PSR-10 (on php-fig.org)
- Virus Total API (on developers.virustotal.com)
- Web Almanac 2019 Security (on almanac.httparchive.org)
Вычитка: Матиас Болт Лесняк