[TYPO3-german] Re: Re: Session Riding in Typo3 möglich, wie ernst ist das Thema?
Christian Wolff
Chris at connye.com
Mon Jan 14 12:19:48 CET 2008
On Mon, 14 Jan 2008 09:54:55 +0100, Georg Ringer <news at ringerge.org> wrote:
> Hi,
>
> gerade für ein Intranet denk ich mir auch, dass da die Gefahr größer
> sein könnte.
>
> Wie wärs mit noch einem extra Parameter, der noch einen hash beinhaltet,
> zB über Passwort, username des Users.
>
> georg
Georg grundsätzlich eine gute idee,
beim login müste dann dieser hash z.b aus username+passwort+timestamp
genereiert werden.
problem ist das das gesamte typo3 BE diesen zusätzlichen hash per get /
post variable
mitschleppen muss. damit es funktioniert. weil cookies nutzt ja das
session riding gerade
aus.
und so eine änderung könnte mit bestehenden extensions grosse probleme
bereiten ist vieleicht etwas das man in den 5.0 branch einbringen kann.
gruss chris
--
Christian Wolff // Berlin
http://www.connye.com
Latest Projects:
http://www.flycall.de | http://www.atr24.de | http://www.titanic.de
More information about the TYPO3-german
mailing list