Mittwoch, 2. Juli 2014

Sichere Übertragung von Formulardaten

TYPO3 Extension form4_powermail_pgp

Aktuell ist das Thema Sicherheit wieder mal in allen Munde. Fast täglich werden weitere News rund um den NSA Skandal und dem millionenfachen Identitätsdiebstahl von E-Mails veröffentlicht. So rückt auch dieses Thema berechtigterweise immer mehr in den Fokus von Webseitenbetreibern, die sich um den Schutz der Inhalte und Daten Ihrer Nutzer sorgen.

Dieser Sicherheitswunsch spiegelt sich auch in den Wünschen unserer Kunden wider, so dass die form4 GmbH folgendes Plugin für TYPO3 6.1 entwickelt hat: form4_powermail_pgp.

Diese Extension verschlüsselt alle E-Mails, die von einer Web-Seite versandt werden, mit dem PGP-Key des jeweiligen zuständigen Bearbeiters.

Spezielle Serveranforderungen

Form4_powermail_pgp  greift auf folgende Programme/Packages auf dem Server zurück:

  • gnupg – mindestens ab der Version 1.4.10
  • das pear Package - Crypt_GPG – mindestens in der Version 1.3.2 und von PHP aufrufbar
  • die powermail Extension in TYPO3

Prüfen Sie vor der Installation, ob das gnupg und das pear-Paket installiert sind, danach kann die Extension dann aus dem TER installiert werden.

Installation

Als erstes bitte das Directory angegeben, das die PGP-Keys von gnupg enthält. TYPO3 sucht dann dort zuerst nach dem entsprechenden PGP-Key. Ist kein Pfad gepflegt, so wird die Umgebungsvariable  „GNUPGHOME“ geprüft. Werden beide Pfade nicht aufgelöst, so ist die Nutzung nicht möglich.

Da es bei Linux-Systemupdates dazu kommen kann, dass zuvor eingestellte Umgebungsvariablen ggf. nicht mehr gesetzt sind oder nicht mehr korrekt aufgelöst werden, dient der zweite Punkt der Extension-Konfiguration dem Fehlerhandling, falls eine Mail fälschlicherweise nicht mit PGP verschlüsselt werden kann.Bei aktivierter Checkbox wird in diesem Fall keine Email  über das Kontakt-Formular versendet, sondern eine Benachrichtigung im Syslog gespeichert. Ist die Checkbox nicht aktiviert, wird die Mail versandt, aber nicht verschlüsselt!

Die Default User Id ist die Voreinstellung für einen Email-Empfänger und seinen Key, der eingerichtet wird, wenn ein Powermail Formular angelegt wird. Mit dem Unique Identitifier des PGP-Keys ist also nicht eine Uid innerhalb von TYPO3 gemeint (Für PGP ist die Uid in der Regel die Email-Adresse).

Fügen Sie nun das statische Template für form4_powermail_pgp in das Root-Template ein.

Jetzt kann jedes Powermail-Formular so eingestellt werden, dass E-Mails verschlüsselt werden.

Benutzung

Die Extension form4_powermail_pgp erweitert das Powermail-Plugin im Backend  nach der Installation um einen weiteren Tab, über den der Benutzer die Verschlüsselung an den Empfänger festlegen kann.

Mit der Checkbox PGP Encryption wird die PGP Verschlüsselung ein- oder ausgeschaltet. Sind auf dem Server PGP-Keys gespeichert, können diese im Drop-Down Menü „Choose public key or add new one“ ausgewählt werden.

Die passende E-Mail Adresse des Public Key-Inhabers muss  im folgenden Feld angegeben werden. Optional kann ein PGP Public Key auch in das Textfeld unterhalb der E-Mail gepflegt werden.

Nun werden alle E-Mails die über dieses Formular versendet werden, verschlüsselt.

comments powered by Disqus