Themen
Strategien und externe Technologien
- Gute Gründe, die Sicherheit zu erhöhen
- E-Mail-Domain (Core) u. Register Codes (regcode.module)
- One Time Logins (Core o. login_one_time.module)
- Verschlüsselung (SSL oder encrypt_submissions.module)
- User-Daten History (user_revision.module)
- E-Mail Change Confimation (email_confirm.module)
- No Request new Password (noreqnewpass.module)
- Ext. Login: OpenID, BrowserID u.a. SSO (diverse Module)
- Regelmäßige Passwort-Abfrage (lock_session.module)
- SSH-Key Login (ssh_login.module)
- Certificats-Login und LDAP-Strategien (siehe Beispiel)
Insgesamt vertritt der Vortragende die Meinung, daß ein guter Onetime-Login (z.B. per E-Mail versendet) besser ist als schlechte Passwörter oder unverschlüsselte Passwort-Übermittlung.
Die Kommunikation zwischen Browser und Server per SSL zu verschlüsseln ist nur eine Möglichkeit von vielen, Drupal weiter abzusichern. Dies ist insbesondere für Intranet-Anwendungen interessant. Neben SSL sind auch weitere assymmetrische Verschlüsselungstechnologien wie SSH und PGP nutzbar um Login-Prozesse abzusichern.
Die Registrierung von Benutzerkonten kann auf bestimmte E-Mail-Domains beschränkt werden. In Kombination mit dem Praxis-Beispiel 2 kann Drupal so zu einer Hochsicherheitszone gemacht werden. Dazu gibt es Module wie Regcode oder auch etwas komplexere Lösungen wie eine LDAP-Anbindungen (siehe Praxisbeispiel 1), um die Registrierung von Benutzern zu steuern.
- http://drupal.org/project/regcode
- http://drupal.org/project/login_one_time
- http://drupal.org/project/encrypt_submissions
- http://drupal.org/project/user_revision
- http://drupal.org/project/email_confirm
- http://drupal.org/project/noreqnewpass
- http://drupal.org/project/browserid
- http://drupal.org/project/services_sso_client
- http://drupal.org/project/lock_session
- http://drupal.org/project/ssh_login