In dieser Vortrag möchte ich einen allgemeinen Überblick über Register/Login-Security-Strategien in Drupal geben. Es geht zwar primär darum die Sicherheit insbesondere für Administartoren-Zuänge zu verbessern, aber auch der leichtere Zugang für Benutzer mit wenig Rechten wird thematisiert.

Neben den default Mechanismen in Drupal erkläre ich diverse Strategien und Module, die je nach (Sicherheits-)Bedarf der Webanwendung eingesetzt werden können. Bei der großen Masse an Modulen auch zu diesem Thema kann es auch sein, daß ich ein paar wichtige Module übersehen habe. Darüber hinaus geht auch um Servertechnologien außerhalb von Drupal und deren

Per Default baut Drupal auf E-Mail Sicherheit, sowohl bei der Registrierung als auch bei einen Passwort-Reset/default Onetime Login. Im Alltag wird eine Username/Passwort-Authentifizierung gegen Passwort-Hashs in der internen Datenbank zumeist MySQL/MariaDB benutzt.

Insgesamt vertritt der Vortragende die Meinung, daß ein guter Onetime-Login (z.B. per E-Mail versendet) besser ist als schlechte Passwörter oder unverschlüsselte Passwort-Übermittlung.

Die Kommunikation zwischen Browser und Server per SSL zu verschlüsseln ist nur eine Möglichkeit von vielen, Drupal weiter abzusichern. Dies ist insbesondere für Intranet-Anwendungen interessant. Neben SSL sind auch weitere assymmetrische Verschlüsselungstechnologien wie SSH und PGP nutzbar um Login-Prozesse abzusichern.

Die Registrierung von Benutzerkonten kann auf bestimmte E-Mail-Domains beschränkt werden. In Kombination mit dem Praxis-Beispiel 2 kann Drupal so zu einer Hochsicherheitszone gemacht werden. Dazu gibt es Module wie Regcode oder auch etwas komplexere Lösungen wie eine LDAP-Anbindungen (siehe Praxisbeispiel 1), um die Registrierung von Benutzern zu steuern.

Aufbauend auf einer Absicherung von Drupal können dann wiederum andere Webanwendungen (z.B. eine Moodle Lernumgebung oder andere Drupal Instanzen) mit diversen Strategien als Single-Sign-On mit Drupal im Zentrum abgesichert werden. Um Drupal zur Kontrollinstanz in einem LDAP-Server zu machen, habe ich das Modul LDAPcontrol entwickelt.

Im diesem Beispiel geht es um die Anbindung von externen Lern-Plattformen an eine Drupal-Plattform (Q-Online). Mein DLSconnect-Modul enthält eine Strategie um mittels Kurzzeit-Passwörtern, die in einem Directory Server (OpenLDAP) abgelegt werden. Dies dient insbesondere der Absicherung der Kommunikation zwischen Drupal und externen Server-Schnittstellen, die nicht per SSL verschlüsselt kommunizieren. Zur Zeit wird diese Strategie auf eine Moodle-Anbindung ausgeweitet.

Im zweiten Beispiel-Projekt get es um SSL-Client-Zertifikate die in Drupal-Instanzen für Login-Prozesse genutzt werden können. Grundsätzlich mit allen SSL-Client-Zertifikaten, aber insbesondere das Web of Trust (WoT) des Community-Projekts CAcert für das diese Lösung auch entwickelt wird, ist vllt. für viele (Drupal-)Websites interessant. Das dazugehörige Modul ist Entwicklung und wird im praktischen Einsatz gezeigt. Auf Unterschiede und Gemeinsamkeitn zum Modul Certifikatelogin wird ebenso eingegangen wie auch auf Server-Zertifikate, die es auch von CAcert gibt.