[TYPO3-dev] htaccess redirect für "unerlaubten" referrer
DirkHo
dirk_studivz at web.de
Mon Jun 22 10:59:14 CEST 2015
Hi Jost,
thanks for your response. That sound interessting, as well.
I'll post my request also to the typo3.german newsgroup - I made a
mistake to post in to the typo3.dev group.
I'll keep your idea in mind.
Thanks and kind regards,
Dirk
Am 21.06.2015 um 12:27 schrieb Jost Baron:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Hi Dirk,
>
> wäre es nicht schöner und einfacher, die Forumssoftware all nicht
> eingeloggten Nutzer einfach auf die Loginmaske weiterzuleiten?
>
> Bei OpenID als SSO-Lösung könnten die Nutzer nach dem Login sogar
> direkt zurück weitergeleitet werden, wenn sie bereits eingeloggt sind.
>
> Das Checken von Referrern kommt mir komisch vor, es kann auch leicht
> umgangen werden. Ich glaube, dass das hier keine Sicherheitslücke
> wäre, aber nutzerfreundlich wäre es auch nicht. Das funktioniert z.B.
> nicht, wenn jemand sich ein Bookmark aufs Forum setzt, oder Referrer
> im Browser abschaltet.
>
> Gruß Jost
>
> On 06/20/2015 10:05 PM, DirkHo wrote:
>> Hallo zusammen,
>>
>> es ist nur bedingt eine Typo3-Frage, die ich heute habe (die
>> Lösung möchte ich für meine Typo3-Seite einsetzen).
>>
>> Und zwar habe ich ein Forum, das ausschließlich nach einem Login
>> über sr_feuser_register betreten werden darf. Und zwar gibt es auf
>> meiner Seite einen Mitgliederbereich unter
>>
>> https://typo3.local/members/forum.html
>>
>> Wenn man diese anklickt passiert automatisiert ein redirect auf
>> https://typo3.local/forum.
>>
>> Nun möchte ich verhindern, dass Mitglieder direkt das Forum
>> aufrufen (u.a. deshalb, weil ich eine SingleSignOn-Lösung verwende,
>> bei der man zwar mit dem Passwort des Mitgliederbereichs am Forum
>> angemeldet wird, aber das Passwort nicht zwangsweise das ist, das
>> auch im Forum hinterlegt ist).
>>
>> Dafür habe ich im Ordner forum in die bestehende .htaccess (läuft
>> unter Debian) folgende RewriteCond bzw. -Rule hinterlegt:
>>
>> RewriteEngine on RewriteCond %{HTTP_REFERER}
>> !^https://typo3.local/members/forum.html [NC] RewriteCond
>> %{HTTP_REFERER} !^https://typo3.local/forum/$i [NC] RewriteRule
>> ^/forum/$ https://typo3.local/ [L,R]
>>
>> Die 2.Contiion soll verhindern, dass beim surfen innerhalb des
>> Forums ein Redirect stattfindet. Sprich, wenn der Benutzer nicht
>> von meiner URL + members/forum.html oder von innerhalb des Ordners
>> meiner Url + forum/ kommt, soll ein Redirect auf meine Url
>> stattfinden.
>>
>> Könntet ihr mir da bitte helfen?
>>
>> Vielen Dank und viele Grüße,
>>
>> Dirk
>>
>> Da passiert aber gar nichts. a2enmod rewrite sagt mir allerdings,
>> dass es bereits aktiviert ist.
>
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1
>
> iQIcBAEBAgAGBQJVhpF/AAoJEAcyRQvmIlC9kaIP/0E2XUwj6YiwFN2/PPDZ41bA
> vVyT7XQLavnYHDwBQ86azzSIqS0seMaJE9UI0orNDirxuIE0aZ7+dUrSqf9ea4t3
> SBx8ilRE7UoeJrBBVfVSbJeazA1E87rcfrSsQpDjOzgJSqbsOoZJgvuo05AWJO55
> HqilAnos2XJmNVfytMJhNUcyIdt86p8iMTGYi8o9ErYiJb5XrOfrsT5S+LJb9Zkz
> /ijlnPtn1t6emZR6WTW6OoNx9rnMsKb3itq+CtuEbSl7fm7Ops31BgKE00n4TNI/
> 5OG6oSf/a3aszZY8L6GlA6S8FZl5B3c1O4zKm1QKX6oWsUEx62gEebuDWvjoiT8C
> 8eAvNJ9FEG2KWp7X8uYXZrKhssSZkUK4lfTnwU7AgbHMwbLb5s/mgqX5KBDXqK9k
> Satk/lvD0gLIq+tQvbU8numgF56x88RsjQo0xTjiPuNYILRPA78W+wb4KOJTL/lB
> 85cn4P/Ixc60hIMNFxBroVMfov2M4rXiaNvp+TgXUGTsBxF0FB1AMF18C+YByKAy
> opLRPL7kgOOXzgfRD+R/KobdfpRVTFM916smsqKNZl1lOHTxdIj0vSJo6QkQOCI3
> KpGjt715RPkFIaSYl0a6DbMphB9jwOVKfqKhruUsVzDojChOV0VF8E/Z4IKcAP+t
> b9arJKKGbMVSHrKw187x
> =PANw
> -----END PGP SIGNATURE-----
>
More information about the TYPO3-dev
mailing list