Register- und Login-Security in Drupal

Vortrag | deutsch | Fortgeschrittene | 45 Minuten | Carsten Logemann

In dieser Session möchte ich einen allgemeinen Überblick über Register/Login-Security-Strategien in Drupal geben. Es geht zwar primär darum die Sicherheit insbesondere für Administartoren-Zuänge zu verbessern, aber auch der leichtere Zugang für Benutzer mit wenig Rechten wird thematisiert.

Neben den default Mechanismen in Drupal erkläre ich diverse Strategien und Module, die je nach (Sicherheits-)Bedarf der Webanwendung eingesetzt werden können. Bei der großen Masse an Modulen auch zu diesem Thema kann es auch sein, daß ich ein paar wichtige Module übersehen habe. Darüber hinaus geht auch um Servertechnologien außerhalb von Drupal und deren Konfiguration.

Basiswissen

Per Default baut Drupal auf E-Mail Sicherheit, sowohl bei der Registrierung als auch bei einen Passwort-Reset/default Onetime Login. Im Alltag wird eine Username/Passwort-Authentifizierung gegen Passwort-Hashs in der internen Datenbank zumeist MySQL/MariaDB benutzt. 

Strategien, Module und externe Technologien

Insgesamt vertritt der Vortragende die Meinung, daß ein guter Onetime-Login (z.B. per E-Mail versendet) besser ist als schlechte Passwörter oder unverschlüsselte Passwort-Übermittlung.

Die Kommunikation zwischen Browser und Server per SSL zu verschlüsseln ist nur eine Möglichkeit von vielen, Drupal weiter abzusichern. Dies ist insbesondere für Intranet-Anwendungen interessant. Neben SSL sind auch weitere assymmetrische Verschlüsselungstechnologien wie SSH und PGP nutzbar um Login-Prozesse abzusichern.

Die Registrierung von Benutzerkonten kann auf bestimmte E-Mail-Domains beschränkt werden. In Kombination mit dem Praxis-Beispiel 2 (siehe unten) kann Drupal so zu einer Hochsicherheitszone gemacht werden. Dazu gibt es Module wie Regcode oder auch etwas komplexere Lösungen wie eine LDAP-Anbindungen, um die Registrierung von Benutzern zu steuern.

Praxis-Beispiel 1: Externe Plattformen und Kurzzeit-Passwörter

Im ersten Beispiel geht es um die Anbindung von externen Lern-Plattformen an eine Drupal-Plattform (Q-Online). Mein DLSconnect-Modul enthält eine Strategie um mittels Kurzzeit-Passwörtern, die in einem Directory Server (OpenLDAP) abgelegt werden. Dies dient insbesondere der Absicherung der Kommunikation zwischen Drupal und externen Server-Schnittstellen, die nicht per SSL verschlüsselt kommunizieren. Zur Zeit wird diese Strategie auf eine Moodle-Anbindung ausgeweitet.

Praxis-Beispiel 2: Login mittels SSL-Client-Zertifikate z.B. von CAcert

Im zweiten Beispiel-Projekt get es um SSL-Client-Zertifikate die in Drupal-Instanzen für Login-Prozesse genutzt werden können. Grundsätzlich mit allen SSL-Client-Zertifikaten, aber insbesondere das Web of Trust (WoT) des Community-Projekts CAcert für das diese Lösung auch entwickelt wird, ist vllt. für viele (Drupal-)Websites interessant. Das dazugehörige Modul ist Entwicklung und wird im praktischen Einsatz gezeigt. Auf Unterschiede und Gemeinsamkeitn zum Modul Certifikatelogin wird ebenso eingegangen wie auch auf Server-Zertifikate, die es auch von CAcert gibt.

Weitere Informationen zu CAcert und Assurance-Möglichkeit siehe Session: "CAcert: Identitäts-Überprüfung und freie SSL-Zertifikate".

Ergänzung: Präsentation auf meiner Website (inkl. ergänzender Informationen und Modul-Links)