[TYPO3-dev] htaccess redirect für "unerlaubten" referrer

Jost Baron jost.baron at gmx.de
Sun Jun 21 12:27:17 CEST 2015 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hi Dirk,

wäre es nicht schöner und einfacher, die Forumssoftware all nicht
eingeloggten Nutzer einfach auf die Loginmaske weiterzuleiten?

Bei OpenID als SSO-Lösung könnten die Nutzer nach dem Login sogar
direkt zurück weitergeleitet werden, wenn sie bereits eingeloggt sind.

Das Checken von Referrern kommt mir komisch vor, es kann auch leicht
umgangen werden. Ich glaube, dass das hier keine Sicherheitslücke
wäre, aber nutzerfreundlich wäre es auch nicht. Das funktioniert z.B.
nicht, wenn jemand sich ein Bookmark aufs Forum setzt, oder Referrer
im Browser abschaltet.

Gruß Jost

On 06/20/2015 10:05 PM, DirkHo wrote:
> Hallo zusammen,
> 
> es ist nur bedingt eine Typo3-Frage, die ich heute habe (die
> Lösung möchte ich für meine Typo3-Seite einsetzen).
> 
> Und zwar habe ich ein Forum, das ausschließlich nach einem Login
> über sr_feuser_register betreten werden darf. Und zwar gibt es auf
> meiner Seite einen Mitgliederbereich unter
> 
> https://typo3.local/members/forum.html
> 
> Wenn man diese anklickt passiert automatisiert ein redirect auf 
> https://typo3.local/forum.
> 
> Nun möchte ich verhindern, dass Mitglieder direkt das Forum
> aufrufen (u.a. deshalb, weil ich eine SingleSignOn-Lösung verwende,
> bei der man zwar mit dem Passwort des Mitgliederbereichs am Forum
> angemeldet wird, aber das Passwort nicht zwangsweise das ist, das
> auch im Forum hinterlegt ist).
> 
> Dafür habe ich im Ordner forum in die bestehende .htaccess (läuft
> unter Debian) folgende RewriteCond bzw. -Rule hinterlegt:
> 
> RewriteEngine on RewriteCond %{HTTP_REFERER}
> !^https://typo3.local/members/forum.html [NC] RewriteCond
> %{HTTP_REFERER} !^https://typo3.local/forum/$i [NC] RewriteRule
> ^/forum/$ https://typo3.local/ [L,R]
> 
> Die 2.Contiion soll verhindern, dass beim surfen innerhalb des
> Forums ein Redirect stattfindet. Sprich, wenn der Benutzer nicht
> von meiner URL + members/forum.html oder von innerhalb des Ordners
> meiner Url + forum/ kommt, soll ein Redirect auf meine Url
> stattfinden.
> 
> Könntet ihr mir da bitte helfen?
> 
> Vielen Dank und viele Grüße,
> 
> Dirk
> 
> Da passiert aber gar nichts. a2enmod rewrite sagt mir allerdings,
> dass es bereits aktiviert ist.

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
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=PANw
-----END PGP SIGNATURE-----

More information about the TYPO3-dev mailing list