ALLES ÜBER secure_login UND WIE ES AUF WEBSITES EINGESETZT WIRD

Untersuchte Extension

secure_login

+Pluswerk TYPO3 Security Extension: Sichere Anmeldung

Diese Erweiterung überprüft Frontend und Backend-Logins auf Brute-Force-Angriffe. Sie können auch Brute-Force-Angriffe auf andere Eingänge, wie Seriennummerneingaben oder Couponcodeeingaben, erkennen und vermeiden.

Verabschieden Sie sich von den Try-Out-Hackern!

Vorteile

  • erweiterbar
  • klein
  • sicherheitsverbesserung
  • einfach installieren und voreingestellte Konfiguration verwenden

Identifizierung von Brute-Force-Angriffen

Ein Brute-Force-Angriff wird nach den folgenden Regeln identifiziert:

  1. Eine IP probiert viele verschiedene Benutzer aus
  2. Ein Benutzer probiert viele verschiedene Passwörter aus

Wird ein Brute-Force-Angriff festgestellt, wird die angreifende IP (im ersten Fall) oder der Benutzer (im zweiten Fall) gesperrt über einen bestimmten Zeitraum.

Installation

Installieren Sie die TYPO3 Extension über composer (empfohlen) oder installieren Sie die Extension über TER (nicht mehr empfohlen).

Composer-Installation:

composer erfordert pluswerk/secure-login

Standardkonfiguration

Wenn keine Einstellungen vorgenommen werden, sperrt die Erweiterung Benutzer oder IPs für zwei Stunden, wenn sie mehr als 5 fehlgeschlagene Versuche haben in einer Stunde.

Konfiguration (optional)

// Standardkonfiguration: Überschreibe dies in deiner eigenen localconf.php
$GLOBALS['TYPO3_CONF_VARS']['EXTCONF']['secure_login'] = [
    defaultBlockingConfiguration' => [ [
        FE' => \Pluswerk\SecureLogin\Configuration\BlockingConfiguration::createConfig(),
        BE' => \Pluswerk\SecureLogin\Configuration\BlockingConfiguration::createConfig(),
    ],
];

Fügen Sie die folgenden Konfigurationen hinzu:

  • maxFailedAttempts: Maximale Anzahl von fehlgeschlagenen Anmeldungen über einen bestimmten Zeitraum 'timeRangeInSeconds'.
  • timeRangeInSeconds: Zeitspanne (in Sekunden), über die 'maxFailedAttempts' gezählt werden.
  • blockingPeriodInSeconds: Zeitspanne (in Sekunden), für die der Benutzer oder die IP gesperrt ist.
Beispiel:

ein Benutzer wird für'blockingPeriodInSeconds' Sekunden gesperrt, wenn er'maxFailedAttempts' falsche Passwörter ausprobiert in der Zeitspanne von'timeRangeInSeconds' Sekunden.

Erweiterung erweitern

Sicherheitsmeldungen anzeigen

Die konfigurierte Sperre ist immer aktiv. Um Sicherheitsmeldungen im Frontend anzuzeigen, fügen Sie die folgenden Zeilen zu Ihrer Vorlage hinzu:

<!-- benutze Namensraum -->
<div xmlns:sl="http://typo3.org/ns/Pluswerk/SecureLogin/ViewHelpers"&gt 
  <!-- Inhalt geht hierhin -->

  <f:if condition="{sl:securityMessage()}">
    <!-- fluid Platzhalter für Sicherheitsmeldungen -->
    <p><sl:securityMessage/></p></p>
  </f:if> if>

  <!-- Inhalt geht hierhin -->
</div&gt 

Protokollierung von Fehlversuchen

Dieses Beispiel protokolliert fehlgeschlagene Anmeldungen:

$formInDatabase = $this->formRepository->findBySerialNumber($form->getSerialNumber()) 
if (count($formInDatabase) > 0) { { 
  /** @var \AUS\AusAusSicherheit\Konfiguration\BlockingConfiguration $blockingConfiguration */ 
  $blockingConfiguration = \Pluswerk\SecureLogin\Configuration\BlockingConfiguration::createConfig();

  /** @var AuthSecurityService $authSecurityService */
  $authSecurityService = GeneralUtility::makeInstance(AuthSecurityService::class);
  $authSecurityService->logUserPasswordAuthentifizierungFailed($username, $password);
} 

Benötigen Sie schnelle Hilfe mit dieser Extension? Unser Team von erfahrenen TYPO3-Entwicklern löst Probleme unkompliziert und zum Stundensatz.

Verteilung:SECURE_LOGIN ist auf

0.07 % aller TYPO3 installiert.

  • 0.42 % aller TYPO3 8.7.x Installationen installiert
  • 0.09 % aller TYPO3 7.6.x Installationen installiert

Aktualität:SECURE_LOGIN ist auf dem neusten Stand (v.1.0.0) bei

76 % aller TYPO3 Installationen

  • 0 % aller TYPO3 9.5.x Installationen
  • 0 % aller TYPO3 9.3.x Installationen
  • 0 % aller TYPO3 9.2.x Installationen
  • 0.3 % aller TYPO3 8.7.x Installationen
  • 0.09 % aller TYPO3 7.6.x Installationen
  • 0 % aller TYPO3 7.5.x Installationen
  • 0 % aller TYPO3 7.4.x Installationen
  • 0 % aller TYPO3 7.3.x Installationen
  • 0 % aller TYPO3 7.2.x Installationen
  • 0 % aller TYPO3 7.1.x Installationen
  • 0 % aller TYPO3 7.0.x Installationen
  • 0 % aller TYPO3 6.2.x Installationen
  • 0 % aller TYPO3 6.1.x Installationen
  • 0 % aller TYPO3 6.0.x Installationen
  • 0 % aller TYPO3 5.0.x Installationen
  • 0 % aller TYPO3 4.7.x Installationen
  • 0 % aller TYPO3 4.6.x Installationen
  • 0 % aller TYPO3 4.5.x Installationen
  • 0 % aller TYPO3 4.4.x Installationen
  • 0 % aller TYPO3 4.3.x Installationen
  • 0 % aller TYPO3 4.2.x Installationen
  • 0 % aller TYPO3 4.1.x Installationen
  • 0 % aller TYPO3 4.0.x Installationen
  • 0 % aller TYPO3 3.5.x Installationen

SECURE_LOGIN Version:Verteilung nach installierten Versionen

  • 100 % SECURE_LOGIN v.1.0.0

PHP Version:SECURE_LOGIN wird benutzt mit

  • 73.68 % PHP/7.0
  • 26.32 % PHP/5.3

responsive - image 4

Gosign-Responsive Index: TYPO3 Installationen nutzen SECURE_LOGIN zu

  • 0 % wenn der Gosign-Responsive-Index zwischen 80 % und 100 % ist
  • 0 % wenn der Gosign-Responsive-Index zwischen 60 % und 80 % ist
  • 12 % wenn der Gosign-Responsive-Index zwischen 40 % und 60 % ist
  • 88 % wenn der Gosign-Responsive-Index zwischen 20 % und 40 % ist
  • 0 % wenn der Gosign-Responsive-Index zwischen 0 % und 20 % ist

speed test - image 5

Pagespeed: TYPO3 Installationen nutzen SECURE_LOGIN zu

  • 40 % wenn der Pagespeed zwischen 80 % und 100 % ist
  • 60 % wenn der Pagespeed zwischen 60 % und 80 % ist
  • 8 % wenn der Pagespeed zwischen 40 % und 60 % ist
  • 0 % wenn der Pagespeed zwischen 20 % und 40 % ist
  • 0 % wenn der Pagespeed zwischen 0 % und 20 % ist


Stichprobe n=37405 von Gosign gecrawlte TYPO3-Seiten mit den Top-Level-Domains <.de>

Ran an die Resultate – unser Newsletter für Sie!

Damit Sie gleich Wind davon bekommen, wenn wir in unserem Magazin zu neuen Erkenntnissen kommen.