liath
Introducing local contrib ...
- Think global, act local
- "local contrib help|cooperation",
- "local contrib team",
- "local contrib officehours"
help to help
- Mentoring e.g in Google Summer of Code
- Core contribution mentoring (core office hours)
- Coworking days
Contribution is not only "solving code problems."
- Testing patches.
- Write documentation.
- Organizing events.
- Translate strings.
- Answer beginner questions.
- And finally become a Maintainer of Modules
- or Core ...
Give back to and/or join the community
- Sponsoring
- Join associations
- Tell others about success
- share knowledge and code
DA and maybe Drupal Initiative
Learning and helping
- blogs, books,screencasts,
- forum, courses,
- irc chat, webinars,
- user group meetings, drupalcamps, drupalcon
local and german speaking: drupalcenter.de
Irc-Channels: #drupal and #drupal.de)
code, license & culture
- drupal.org host of ...
- core, profiles, modules, themes ...
- Free and open source (Gnu Public License)
- Code of conduct
- Coding standards
- Security reviews
"There is a contrib project for that"
http://drupal.org/coding-standards
Why contribution is important
- Free and Open Source is running by contribution
- A question of honor
- Reputation
- Promotion
Contribution to the Drupal Community
Beispiel 2: Login mittels SSL-Client-Zertifikate
- Idee z.B. CAcert zu nutzen
- Abhängigkeit vom Server
- Login mit certificate.module
- Separate PHP-Datei mit Drupal-Bootsrap
- Zertifikats-Login erzwingen z.B. für Admins
Im zweiten Beispiel-Projekt get es um SSL-Client-Zertifikate die in Drupal-Instanzen für Login-Prozesse genutzt werden können. Grundsätzlich mit allen SSL-Client-Zertifikaten, aber insbesondere das Web of Trust (WoT) des Community-Projekts CAcert für das diese Lösung auch entwickelt wird, ist vllt. für viele (Drupal-)Websites interessant. Das dazugehörige Modul ist Entwicklung und wird im praktischen Einsatz gezeigt. Auf Unterschiede und Gemeinsamkeitn zum Modul Certifikatelogin wird ebenso eingegangen wie auch auf Server-Zertifikate, die es auch von CAcert gibt.
- http://drupal.org/project/certificate
Beispiel 1: Ext. Plattformen u. Kurzzeit-Passwörter
- Drupal als SSO-Provider
- indirekt z.B. mit LDAP (LDAPcontrol.module)
- direkt z.B. per REST (services.module)
- Beispiel: Kurzeitpasswörter für Q-Online
Aufbauend auf einer Absicherung von Drupal können dann wiederum andere Webanwendungen (z.B. eine Moodle Lernumgebung oder andere Drupal Instanzen) mit diversen Strategien als Single-Sign-On mit Drupal im Zentrum abgesichert werden. Um Drupal zur Kontrollinstanz in einem LDAP-Server zu machen, habe ich das Modul LDAPcontrol entwickelt.
Im diesem Beispiel geht es um die Anbindung von externen Lern-Plattformen an eine Drupal-Plattform (Q-Online). Mein DLSconnect-Modul enthält eine Strategie um mittels Kurzzeit-Passwörtern, die in einem Directory Server (OpenLDAP) abgelegt werden. Dies dient insbesondere der Absicherung der Kommunikation zwischen Drupal und externen Server-Schnittstellen, die nicht per SSL verschlüsselt kommunizieren. Zur Zeit wird diese Strategie auf eine Moodle-Anbindung ausgeweitet.
- LDAPcontrol: http://drupal.org/sandbox/C_Logemann/1130156
- DLSconnect: http://drupal.org/sandbox/C_Logemann/1245466
- http://drupal.org/project/services
- MoodleConnect (work in progress)
- http://portal.q-online.de/
Strategien und externe Technologien
- Gute Gründe, die Sicherheit zu erhöhen
- E-Mail-Domain (Core) u. Register Codes (regcode.module)
- One Time Logins (Core o. login_one_time.module)
- Verschlüsselung (SSL oder encrypt_submissions.module)
- User-Daten History (user_revision.module)
- E-Mail Change Confimation (email_confirm.module)
- No Request new Password (noreqnewpass.module)
- Ext. Login: OpenID, BrowserID u.a. SSO (diverse Module)
- Regelmäßige Passwort-Abfrage (lock_session.module)
- http://drupal.org/project/regcode
- http://drupal.org/project/login_one_time
- http://drupal.org/project/encrypt_submissions
- http://drupal.org/project/user_revision
- http://drupal.org/project/email_confirm
- http://drupal.org/project/noreqnewpass
- http://drupal.org/project/browserid
- http://drupal.org/project/services_sso_client
- http://drupal.org/project/lock_session
- http://drupal.org/project/ssh_login
Insgesamt vertritt der Vortragende die Meinung, daß ein guter Onetime-Login (z.B. per E-Mail versendet) besser ist als schlechte Passwörter oder unverschlüsselte Passwort-Übermittlung.
Die Kommunikation zwischen Browser und Server per SSL zu verschlüsseln ist nur eine Möglichkeit von vielen, Drupal weiter abzusichern. Dies ist insbesondere für Intranet-Anwendungen interessant. Neben SSL sind auch weitere assymmetrische Verschlüsselungstechnologien wie SSH und PGP nutzbar um Login-Prozesse abzusichern.
Die Registrierung von Benutzerkonten kann auf bestimmte E-Mail-Domains beschränkt werden. In Kombination mit dem Praxis-Beispiel 2 kann Drupal so zu einer Hochsicherheitszone gemacht werden. Dazu gibt es Module wie Regcode oder auch etwas komplexere Lösungen wie eine LDAP-Anbindungen (siehe Praxisbeispiel 1), um die Registrierung von Benutzern zu steuern.
Basiswissen und Sicherheitsreduktion
- Passwort-Hash, E-Mail Sicherheit und Passwort-Reset
- Gute Gründe für Sicherheitsreduktion
- Nur Username – keine E-Mail-Adresse (optional_mail.module)
- Nur E-Mail-Adresse – kein Username (email_registration.module)
- Mehr User pro E-Mail-Adresse (multiple_email.module)
- Login per IP-Adresse (ip_login.module)
- Nur Passwort-Login (Machbarkeitsstudie, kein Contrib Modul)
Per Default baut Drupal auf E-Mail Sicherheit, sowohl bei der Registrierung als auch bei einen Passwort-Reset/default Onetime Login. Im Alltag wird eine Username/Passwort-Authentifizierung gegen Passwort-Hashs in der internen Datenbank zumeist MySQL/MariaDB benutzt.
Einleitung
- Allgemeiner Überblick zu Register/Login
In dieser Vortrag möchte ich einen allgemeinen Überblick über Register/Login-Security-Strategien in Drupal geben. Es geht zwar primär darum die Sicherheit insbesondere für Administartoren-Zuänge zu verbessern, aber auch der leichtere Zugang für Benutzer mit wenig Rechten wird thematisiert.
Neben den default Mechanismen in Drupal erkläre ich diverse Strategien und Module, die je nach (Sicherheits-)Bedarf der Webanwendung eingesetzt werden können. Bei der großen Masse an Modulen auch zu diesem Thema kann es auch sein, daß ich ein paar wichtige Module übersehen habe. Darüber hinaus geht auch um Servertechnologien außerhalb von Drupal und deren
Register- und Login-Security in Drupal
Carsten Logemann
paratio.com e.K.
- 2012-02-26 Vortrag auf dem Drupalcamp Essen
Start s5-Präsentation
automatic translations - helpful?
- machines can't understand humans!
- i18n auto translate (contrib)
- Google translation API: problems and alternatives
- maybe Microsoft Bing
- Moses: independence by statistics
- translation workflow: humans can understand more
current state and future
- better and private automatic translation
- synchronized WIKI concept
- from custom code to contrib
- drupal 7 and ...
- help needed
concept of multilingual threads
- what about the core forum?
- the center: thread ID (node ID of first talk)
- the horizontal line: nodes with translations (core "tnid")
- the vertical line: node references (CCK)
- the tree view (maybe only technician like it)
- view of all translations with a custom javascript helper
solid i18n basement
- locale: user interface translation (core)
- content translation (core)
- internationalization - the i18n modules (contrib)
- Apache Solr Multilingual (contrib)
- Registration language (contrib)
- Language Icons (contrib)
- Consistent Language Interface (contrib)
- reduce the interface for usability!
is english the key?
- audience: who is an english native speaker here?
- english is a world language.
- a tool or more like a crutch?
- what about non english speaking people?
about languages and me
- since 1991: thinking about language problems.
- 2003: diploma thesis about language neutral knowledge management (still a future concept).
- 2007: drupal discovered (sad about missing 6 years drupal fun).
- 2010: concept of a forum structure with multilingual threads (Newropeans Intranet).
- 2011: Forum Anticipolis (public content, case study for this session)
- Anmelden um Kommentare zu schreiben
