Drupalsnack

Drupalsnack 33: Säkerhet i Drupal och i allmänhet

Listen Later

Vi pratar om säkerhet i Drupal och i allmänhet. Adam saknas denna gång men Kristoffer och Fredrik djupdyker i säkerhet, zsh, Ansible m. m. Drupalsnack har nu sommaruppehåll till slutet av augusti eller så.

Länkar till moduler, webbplatser och tjänster vi pratade om i detta avsnitt:

Kod och Drupal
  • Håll core och moduler uppdaterade.
  • dev-moduler vara eller inte vara
  • Se till så att alla patchar dokumenteras och helst pushas i issue kön
  • Många moduler ger mer kod som kan ha buggar, större ”attackyta”.
  • Modulen Hacked
  • https://drupal.org/writing-secure-code
  • Drupal filtrerar på ”output”.
  • check_plain(), filter_xss(), t()
  • Använd alltid FormAPI och inte egen rå SQL
  • Använd placeholders i databasfrågor.
  • Inloggade sessioner över SSL.
  • Roller och test användare
  • Låt alla användare ha egna konton så det går att se vem som gjort vad.
  • Ha inte databaslösenord etc. i versionshanteringen
  • Lösenordsskydda utvecklingssiter så att google inte indexerar de
  • site:drupalcamp.se -site:spring2014.drupalcamp.se
  • Kör sanitize (drush) för att inte sprida användares lösenord och e-postadresser i onödan.
    • Server och oDrupal saker
    • Hur sparas backup och säkerhetskopior
    • Server/Apache/Drupal versioner
    • php.ini, se till att ni inte kör med developer inställningar.
    • MySQL bind-address = 127.0.0.1
    • Kontroll av DNS/Mail/3rd part tjänster
    • Övervakning av maskin och tjänster
    • Vilka har tillgång till servern?
    • Kontrollera loggar
    • Långa och unika lösenord
      • Visitors Voice
      • Visitors Voice
        • Eftersnack
        • ZSH, Z shell
        • Zsh
        • https://github.com/myfreeweb/zshuery
        • https://github.com/frjo/dotfiles
        • Ansible
        • Launchpad
          • ...more
          View all episodesView all episodes
          Download on the App Store
          DrupalsnackBy Drupalsnack.se