Інструменти TYPO3 дозволяють створити сайт будь-якого типу. Впровадження мультифункціональних рішень забезпечує працездатність проекту при високих навантаженнях. Візуалізація різноманітних шаблонів сторінок, онлайн обробка зображень (обрізки), слайдери, багатомовність, масштабування і адаптація під мобільні пристрої.
Звіт: Google CMS Security Summit 2020 у Мюнхені
Цього року захід відбувся в Мюнхені, Німеччина, і Олівер Хадер, Бенні Мак і Торбен Хансен з групи безпеки (Security Team) представляли TYPO3.
Після незапланованої зустрічі з усіма учасниками ввечері перед заходом ми провели два повних дні в Google Мюнхені і Центрі інформаційної безпеки (Information Security Hub - ISH), щоб дізнатися про нові і майбутні розробки в області веб-безпеки.
Технологія безпеки
Було проведено безліч відмінних презентацій і яскравих виступів з мережних технологій і технологій безпеки, безпеки кінцевих користувачів і конфіденційності даних, зниження потенціалу впровадження і методам ізоляції для розподілених запитів.
- Strict Content Security Policy, Trusted Types та Scripting Policy для міграцій інжекторів, таких як XSS.
- Cross-Origin Resource Policy (CORP), Політика Embedder, і Securer Contexts посилити ізоляцію і пом'якшити атаки по стороннім каналам.
- Основні поняття про інструменти і середовища для захисту екосистеми CMS.
- OpenSK, ключ безпеки з відкритим вихідним кодом, який буде використовуватися для багатофакторної аутентифікації.
- SameSite Cookie примусове застосування і конфіденційність браузера Sandbox, що поліпшує міжсайтовий конфіденційність.
- Потенціал стандартів PSR-9 і PSR-10 PHP.
- Virus Total API кластеризувати і класифікувати потенційні шкідливі програми в мережі.
- Web Almanac 2019 Security аспекти.
Секційні засідання
Секційні засідання дозволили учасникам брати участь в нерегламентних дискусіях по темам, пов'язаним з безпекою:
- Швидке виявлення і швидке реагування / запобігання
- Інструменти безпеки і API
- автоматичні оновлення
- Стандартизована розсилка бюлетенів з безпеки
- Координація вікон безпеки для проектів
- Двухфакторная аутентифікація за замовчуванням для розробників і адміністраторів CMS
- Кращі інструменти статичного аналізу коду, які дозволяють запобігати
- Сигнали безпеки / оцінка в Chrome Dev Tools
- Покращення безпеки фінансування в CMS
Відмінна ініціатива - спасибі Google!
Для TYPO3 захід пройшов з великим успіхом, було багато корисного і змістовних обговорень. Він також привернув увагу до кількох тем, над якими ми будемо працювати над підвищенням безпеки TYPO3 і його екосистеми, таким як застосування кукі-файлів SameSite, розширення охоплення статичним аналізом коду і уточнення документації на нашу процесу.
Ми хотіли б подякувати Google за організацію заходу та всім учасникам за активну і захоплену роботу по підвищенню безпеки.
Подальше читання
- Strict CSP (on csp.withgoogle.com)
- Trusted Types (on research.google)
- Scripting Policy (on mikewest.github.io)
- CORP (on fetch.spec.whatwg.org)
- Securer Contexts (on github.com/mikewest)
- OpenSK (on github.com/google)
- SameSite cookie enforcement (on blog.chromium.org)
- Privacy Sandbox (chromium.org)
- PSR-9/PSR-10 (on php-fig.org)
- Virus Total API (on developers.virustotal.com)
- Web Almanac 2019 Security (on almanac.httparchive.org)
Коректура: Матіас Болт Лесняк