Sändningsdatum:
2014-06-15
Vi pratar om säkerhet i Drupal och i allmänhet. Adam saknas denna gång men Kristoffer och Fredrik djupdyker i säkerhet, zsh, Ansible m. m. Drupalsnack har nu sommaruppehåll till slutet av augusti eller så.
Länkar till moduler, webbplatser och tjänster vi pratade om i detta avsnitt:
Kod och Drupal
- Håll core och moduler uppdaterade.
- dev-moduler vara eller inte vara
- Se till så att alla patchar dokumenteras och helst pushas i issue kön
- Många moduler ger mer kod som kan ha buggar, större ”attackyta”.
- Modulen Hacked
- https://drupal.org/writing-secure-code
- Drupal filtrerar på ”output”.
- check_plain(), filter_xss(), t()
- Använd alltid FormAPI och inte egen rå SQL
- Använd placeholders i databasfrågor.
- Inloggade sessioner över SSL.
- Roller och test användare
- Låt alla användare ha egna konton så det går att se vem som gjort vad.
- Ha inte databaslösenord etc. i versionshanteringen
- Lösenordsskydda utvecklingssiter så att google inte indexerar de
- site:drupalcamp.se -site:spring2014.drupalcamp.se
- Kör sanitize (drush) för att inte sprida användares lösenord och e-postadresser i onödan.
Server och oDrupal saker
- Hur sparas backup och säkerhetskopior
- Server/Apache/Drupal versioner
- php.ini, se till att ni inte kör med developer inställningar.
- MySQL bind-address = 127.0.0.1
- Kontroll av DNS/Mail/3rd part tjänster
- Övervakning av maskin och tjänster
- Vilka har tillgång till servern?
- Kontrollera loggar
- Långa och unika lösenord