On 24.04.2017 16:06, Frank G. wrote: > Danke für die Rückmeldungen. > > Welche Möglichkeiten gibt es denn noch, bestimmte Inhaltselemente oder > Seiten nur für definierte IP-Adressen anzuzeigen, wenn es über ein > automatisches Frontend-Login so unsicher ist? > > Vielleicht noch kurz zur Info: Das automatische FE-Login erfolgt nur von > Adressen aus unserem internen Netz, aus dem kein XSS zu erwarten ist - > oder besteht das Sicherheitsrisiko auch für Zugriff von externen > Adressen, die nicht angemeldet werden? Mit den genannten Extensions > (cc_ip*) hatten wir das schon seit vielen Jahren realisiert und nie > irgendwelche Probleme gehabt... >
Ist nicht typo3-spezifisch, das Problem: Irgendein Programm findet sich immer, das auf Pakete antwortet und dem man vorgaukeln kann, dass man sich woanders befindet, als man ist. Das Ergebnis ist, dass man einem Rechner, der dank passender IP-Adresse stets automatisch angemeldet ist, befehlen kann, Dinge auf den Rechnern, auf denen er angemeldet ist, zu unternehmen. Auch kann man manchmal IP-Adressen fälschen und wenn jemand auf diese Weise die Kontrolle über einen Rechner im Firmennetzwerk übernehmen kann, - dann hat er eine komfortable Ausgangsbasis, besonders, wenn dieser Rechner einen Service anbietet, der aus dem Internet erreichbar ist und er daher schwer zu überwachen. Wenn man das Login auf IP-Adressen beschränkt, von denen aus man auch ein Login erwartet, macht das Angriffe etwas schwieriger. Aber nur etwas. Besser ist ein schön langes Passwort und eine Verschlüsselung wie https. Ein schönes Beispiel, was passieren kann, wenn man auf einen Sicherheitsmechanismus zu viel verzichtet, ist hier: https://www.reddit.com/r/programming/comments/60jc69/company_with_an_httpserved_login_form_filed_a/df7vnzp/ Aber gibt viele weitere. Gruß, Gunter. _______________________________________________ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german