Hi!
Johannes C. Laxander wrote:
Zwischen den Jahren ist ja meistens etwas Zeit sich Themen zu befassen, für
die im Tagesgeschäft wenig Zeit bleibt. Da ich nicht der klassische
Entwickler bin, ich aber trotzdem eine eigene Extension entwickelt habe,
sehe ich mich natürlich auch mit dem Thema „Cross-Site-Request-Forgery“
konfrontiert. Zumal es für die Version 7 LTS heißt: „…müssen
Frontend-Plugins jetzt selbst für Schutz sorgen.“ Und an dieser Stelle bin
ich im Moment „überfordert“. Dazu zwei Fragen:
1. Bedeutet das gleichsam, dass ich bei TYPO3 6.2 nicht selbst dafür sorgen
muss?
Es bedeutet, dass Du in der Version 6.2 alles selbst machen musstest.
2. Was muss ich in meiner Extension ändern / ergänzen, damit ich unter 7 LTS
den notwendigen Schutz habe?
Du musst mit Hilfe der FormProtection Klasse Tokens generieren und prüfen.
Ein CSRF Angriff ist allerdings nur interessant, sofern Deine
Appliaktion (Extension) mit Benutzeranmeldungen fungiert. Ist das bei
Dir der Fall?
Kind regards,
Helmut
--
Helmut Hummel
Release Manager TYPO3 6.0
TYPO3 CMS Active Contributor, TYPO3 Security Team Member
TYPO3 .... inspiring people to share!
Get involved: typo3.org
_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
