Intranet

[BoFiaz]

Hi, ich soll ein Intranet aufsetzen und bevor ich das Rad neu erfinde wollte ich mich mal schlau machen. Gibt es vielleicht schon Systeme die sich für ein Intranet eignen und die ihr bereits einsetzt? Welche System finden bei Euch Anwendung? Das System soll Dokumente verwalten können, eine Volltextsuche habe und ein Forum für Mitarbeiter. Natürlich auch unterschiedliche Rechte verwalten können, damit die User darauf zugreifen können.

[Greenhorn23]

solltest du eigentlich mit fast jedem cms machen können
z.B. http://typo3.com/Intranet-Dokumentati.1385.0.html?&L=2

[err0rFH]

http://en.wikipedia.org/wiki/List_of...gement_Systems

Die wohl besten...Typo/Joomla/..

[Greenhorn23]

bei joomla bin ich im augenblick etwas skeptisch ... soviel "exploits" wie es da gibt

[fuchzga]

Ich würde noch eine LDAP-Anbindung ins Pflichtenheft schreiben.
Gerade wenn man in einem Unternehmen arbeitet, an dem es schon eine Instanz gibt, in denen die User angelegt wurden.
Man möchte ja diesen Userstamm nicht noch ein weiteres mal anlegen und in Berechtigungsgruppen einsortieren.

[phpBuddy]

Ist zwar etwas OT, würde mich aber dennoch mal interessiere.

bei joomla bin ich im augenblick etwas skeptisch ... soviel "exploits" wie es da gibt

Welche Sicherheitslöcher wären das denn bei Version 1.5.6, die nicht durch schlampig programmierte Komponenten ermöglicht werden, was man ja leicht vermeiden kann, indem man seine eigenen Komponenten und Module entwickelt?

Soweit ich weiß gab es seit Version 1.5 stable genau einen ernsthaften Lapsus, der aber mit 1.5.6 gefixt wurde. Hast Du evtl. andere Quellen und den ein oder anderen Link dazu, damit ich mich mal updaten kann?

Danke und Gruß,
Andreas

[ThomasMo]

Zumal solche Lücken bei einem nur intern zugänglichen Intranet nicht ganz so gravierend wären wie im Internet. Man darf es natürlich nicht vernachlässigen, aber firmenintern sollte die Wahrscheinlichkeit eines Angriffes auf eine solche Lücke doch etwas kleiner sein.

[Greenhorn23]

@rizo
ich schicke dir mal einen link
wenn ich die liste verfolge, dann kommen viele sachen (mtl. mehrere) von joomla rein im vergleich zu z.b. typo
es stimmt, der letzte "bug" wurde schnell gefixt


es stimmt intern ist wahrscheinlichkeit wirklich geringer, aber kann genauso gravierend werden wenn jemand einen dos/sql injection angriff macht bzw. wie beim letzten bug sich einen account einrichtet.

dem ganzen lässt sich aber bestimmt intern durch oranisatorische regelungen etwas eingrenzen und abschrecken

[phpBuddy]

Hallo Greenhorn23,

danke für die PN mit dem Link.
Wie Du aber in der Liste siehst, ist unter Joomla 1.5 (Core) genau 1 Fehler aufgeführt und der wurde quasi am gleichen Tag gefixt, als er bekannt wurde.
Alle anderen "Vulnerabilities" tragen das Label "Component". Das sind also von User geschriebene Erweiterungen die, schaut man sich die Art der Verwundbarkeit an, absolut schlampig geschrieben sein müssen, weil fast alle Angriffe dort über nicht gefilterte GET-Parameter stattfinden. Nicht nur das, sondern es werden fast ausschließlich SQL-Injections untergeschoben. Es gehört zum kleinen 1x1 für PHP Programmierer das man weiß, wie man sich gegen solche Angriffe schützt. Es wurde bei fast allen Einträgen in der Liste also doppelt geschlampt, weil 1) Benutzereingaben (GET-Parameter) nicht verifiziert werden und 2) SQL-Statements unescaped (mysql_real_escape_string) an die DB geschickt werden.

Wer auf seiner Seite ungeprüfte Erweiterungen einsetzt darf sich hinterher auch nicht beklagen, wenn die Seite zusammengehackt wurde.

Ansonsten hat ThomasMo sicherlich recht wenn er sagt, dass die Gefahr von solchen Angriffen in einem Intranet vermutlich gegen Null geht.

[Greenhorn23]

danke für die infos

[polo879]

Wie Du aber in der Liste siehst, ist unter Joomla 1.5 (Core) genau 1 Fehler aufgeführt und der wurde quasi am gleichen Tag gefixt, als er bekannt wurde.
Alle anderen "Vulnerabilities" tragen das Label "Component". Das sind also von User geschriebene Erweiterungen die, schaut man sich die Art der Verwundbarkeit an, absolut schlampig geschrieben sein müssen, weil fast alle Angriffe dort über nicht gefilterte GET-Parameter stattfinden. Nicht nur das, sondern es werden fast ausschließlich SQL-Injections untergeschoben. Es gehört zum kleinen 1x1 für PHP Programmierer das man weiß, wie man sich gegen solche Angriffe schützt. Es wurde bei fast allen Einträgen in der Liste also doppelt geschlampt, weil 1) Benutzereingaben (GET-Parameter) nicht verifiziert werden und 2) SQL-Statements unescaped (mysql_real_escape_string) an die DB geschickt werden.

[Rinaldo]

Und wo gehört das jetzt dazu?!

[maxi89]

Vermutlich hierzu:
http://www.traum-projekt.com/forum/9...-intranet.html

Aber der Thread ist von 2008

[SvenWeb]

ich hab's mal verschoben

[cavessa]

Das habe ich heute gefunden:http://openatrium.com/

Ist auf Drupal Basis.

Finds ganz gut.

Gruss