Als Mitglied des TYPO3 Security Team liegt einem die Sicherheit des Webs und insbesonders von TYPO3 am Herzen. Gerade eben bin ich auf eine einfache Tatsache gestoßen: Unsichere Extensions und Suchmaschinenoptimierungen vertragen sich nicht.
Ein Bericht von gerade eben
Man surft so vor sich hin, kommt auf eine TYPO3-Seite und sieht an den Parametern in der URL dass es sich a) um eine pibase-Extension handelt, dass es b) keinen cHash gibt und daher eher gepfuscht wurde (USER_INT wird nicht benötigt). Testweise ein 'x'
an die ID angehängt zeigt, dass aufgrund eines nichtvorhandnenen Extension-Inhaltes entweder sehr genau kontrolliert wird oder gar nicht. Ein ' AND 1=1'
zeigt den Inhalt wieder und bestätigt zweiteres.
Und hier ein Aufruf, besonders an Agenturen und alle die interne Extension über Kundenprojekte hinweg einsetzen: Hier sollte ganz besonders wert darauf gelegt werden, dass die Extension sauber ist, weil sonst rächen sich die verkauften SEO-Zusatzpakete. Google sagt bei der Suche nach ‚inurl:tx_extensionkey_pi1‘: Mehr als 640.000 Treffer … ooops (ja ich weiß, es sind nicht 640.000 Unique Kunden, aber es sind noch genügende).
Extension ist nicht im TER, sonst würd ich das hier nicht schreiben, Agentur ist informaiert, ich bin gespannt — könnten arbeitsreiche Tage werden