Bringt SEF/SEO(-Erweiterung) einen Sicherheitsvorteil?

[herzwacht]

Immer wieder kann man lesen [1], es sei wichtig die Joomla!-eigene SEF-Funktion, die in der Konfiguration zu aktivierenden "Suchmaschinenfreundliche URLs" unbedingt zu verwenden. Dies sei u.a. sicherer.

Andern Orts [2] wird die Joomla!-SEF-Funktino für kleinere Projekte als ausreichend angesehen und für größere sogar eine separate Erweiterung empfohlen, wie z.B. SEF Advance, sh404SEF oder JoomSEF. Stärkste Argumente sind die bessere Migrierbarkeit von, gefolgt von automatischen Metatags für Webseiten, die eine SEF-Erweiterung verwenden.

Bedeutende Stimmen aus der Joomla!-Gemeinde [3] propagieren sogar ohrenfreundliche URLs, sog. HEFs und stellen damit auf die Bedeutung von URLs als Human Interface Device ab.

[1] http://www.prothemer.com/blog/hosting-a ... ood-looks/
[2] http://tipps.joomla.ch/joomla/suchmasch ... tlich.html
[3] http://brian.teeman.net/extensions/is-t ... -hear.html

Aber bringt SEF auch einen Sicherheitsvorteil?

Die meisten Skiptkiddies verwenden den Google inurl: Befehl (z.B. http://www.google.de/search?q=inurl%3Acom_contact) für die Suche nach einer potenziell verletzbaren Seite. Dies kann dem Skriptkiddie erschwert werden, wenn SEF eingeschaltet oder eine SEF-Komponente wie ARTIO, sh404SEF usw. verwendet wird, welche die eigentliche URL maskiert.

Was haltet ihr davon?

Machen SEF-URLs die Joomla!-Webseite sicherer oder ist das nur Security by Obscurity?

[RedEye]

Machen SEF-URLs die Joomla!-Webseite sicherer oder ist das nur Security by Obscurity?

Naja ein bissel von beidem würd ich sagen, wobei ich finde das hier Security by Obscurity weiter vorn liegt.
Zumal auch eine sehr große Anzahl von Seiten existiert die zwar sef url's haben, den Componenten Namen aber dennoch in der url mit sich bringen und somit die Google inurl Suche dennoch feine Ergebnisse liefert.
Ist der Componenten Name nicht in der url gegeben bringt die inurl Suche natürlich nicht soviel, aber man darf sich keine Illusionen machen, wer eine Seite finden will der findet diese auch.
Von daher kannst du eigentlich sagen das eine sef url die Seite keinesfalls sicherer macht.

Die meisten Componenten Exploits benötigen zudem eh noch bestimmte Voraussetzungen wie z.B. einen blöden Admin wenn die Lücke in einer Componente ist die eh nur im Adminbereich benutzt wird.
Ein extrem große Anzahl der Exploits beruht auf einer SQL Injection und ist direkt über die url aufrufbar, also bildest dein query z.B. &var=blabla+jos_users+blabla (extra mal blabla hier weil wir ja keine Anleitungen geben wollen^^) genau so etwas findet man vor wenn man sich die Exploits anschaut, wenn das query so funzt müssen wir uns beim liebem Admin bedanken der einsichtig war und das standard db prefix gewählt hat und seine url's nicht filtert...
War der Admin nicht einsichtig benutzt er zum einen ein anderes prefix und wenn er noch uneinsichtiger ist filtert er die url query strings und macht einen url Exploit unmöglich...

Um also eine Seite sicherer zu machen sollte man woanders ansetzen, dennoch bringen gute sef url`s ein kleines Stückchen "Sicherheit" weil sie das auffinden, gerade vor Skiptkiddies, erschweren.