Andreas Becker schrieb: > Hi Nils > Teilerfolg > > http://www.typo3-jack.net/typo3-english-lists-netfielders-de/14594-typo3-backend-timeout-problem.html > > dieser Thead brachte uns auf eine Interim Loesung. > Obwohl wir bei diesem Kunden NIE ein Probleme mir der default einstellung > von LockIP hatten (4) funktioniert nun die Seite wenn wir diesen Wert auf > (0) setzten - also disable. > > Kann uns einer der sich mit Sicherheit gut auskennt nun einmal erklaeren wie > unsicher nun das System wird, wenn man diesen Wert auf "0" setzt. (Andere > Loesung haben wir bisher leider nicht gefunden, den auch doNotCheckRefferer > = 1 brachte keinen Erfolg. > > Nils checke einmal ob das auch bei dir hilft und lass es uns wissen. Danke! > > $TYPO3_CONF_VARS['BE']['lockIP'] = '0' > > Probiere auch die Werte 1,2,3 aus evtl brauchst du ja nicht die kompette IP > disablen > > Andi
Hi Andi, die einstellung "lockIP". macht folgendes: du lockest dich ein. (und bekommst einen Session-cookie, mit Session-id) wenn lockIP aktiviert ist wird auf dem server festgelegt das diese Session nur von deiner IP aus anfragen stellen darf. das verhindert das jemand anders dir deine SESSION Stehlen kann. z.b in dem er mit hilfe einer browser lücke die Same-Origin policy von javascript umgeht. und es so schaft von einer anderen domain aus deine cookies auszulesen. gibt natürlich noch andere möglichkeite die session ID zu kommen.(trojaner,network-sniffing,etc.) Wenn LockIP abgeschaltet ist. kann man deine SESSION von Belibigen IP adressen nutzen. ich würde sagen es erhöht das risiko. ist aber keine direkte einladung weil der "angreifer" immer noch über irgend einen weg an die Session-id kommen muss. um so zu tun als ob der du währe. und möglicher weise gibt es für den angreifer einfachere ziele. (schwache passwörter, extensions mit sicherheitslücken, etc). die es ihm vorallem dauerhaften zugang zu bekommen. so eine SESSION wird ja beendet sobald du dich ausloggest. das heist der Angreifer wird versuchen. sich innerhalb deiner session einen eigenen user anzulegen um dauerhaften zugriff zu bekommen. warscheinlich nutzt du einen Proxyserver oder etwas anderes sorgt dafür das sich deine externe IP häufig ändert. falls du einfluss darauf hast könntest du versuchen das abzustellen. um dann lockIP wieder zu aktivieren. gruss chris -- Christian Wolff // Berlin http://www.connye.com some projects: http://richtermediagroup.com | http://titanic.de | http://fairplay-homepage.de _______________________________________________ TYPO3-german mailing list TYPO3-german@lists.netfielders.de http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-german