[TYPO3-german] Mehrfache Einträge im Suchergebnis

Ch We c-we at gmx.net
Wed Nov 14 17:25:54 CET 2012 

Hallo Peter,

ok, ich habe mir das nochmal genauer angeschaut. Vielen Dank für den Hinweis mit den cHhash.

Es sieht so aus als würden Anfragen aufschlagen, die ein paar Parameter samt cHhas enthalten. Bspw. www.example.com/de.html?ci=10&languag___=&cHash=68ed4a0d910c1e540ce1b5972e414a83

Sowohl 'ci' als auch 'languag___' wird nicht vom Typo3 verarbeitet; sind also ungültig.

Dieser Aufruf führt dazu, dass ein Eintrag im Cache erzeugt wird. Dadurch bin ich aktuell bei 16 Einträgen allein für die Startseite, obwohl ich den Cache vor ein paar Minuten geleert habe.

Wenn ich dich richtig verstanden habe, können solche Einträge nur zustanden kommen, wenn der cHash korrekt mit dem ecryptionKey gehasht wird, der? 
Sprich wenn derjenige, der die Anfrage stellt, den encryptionKey kennen würde und daher den cHash korrekt berechnen kann um somit einen Cache-Eintrag zu erzeugen?

Daher habe ich den Encryptionkey geändert, sämtliches Caches gelöscht und trotzdem werden nach wie vor Cache-Einträge erzeugt. 

Hast du oder hat jemand noch eine Idee, wie das passieren kann?

Gruß
Christian

-------- Original-Nachricht --------
> Datum: Wed, 14 Nov 2012 14:37:48 +0100
> Von: Peter Linzenkirchner <liste at lisardo.de>
> An: German TYPO3 Userlist <typo3-german at lists.typo3.org>
> Betreff: Re: [TYPO3-german] Mehrfache Einträge im Suchergebnis

> Hallo, 
> 
> wenn sich TYPO3 tatsächlich so verhalten würde, könnte man jede
> Installation schnell vom Netz bringen, indem man die Cache-Tabellen flutet. Eine
> Denial of Service Attacke gegen jede TYPO3-Installation wäre damit ein
> Kinderspiel. 
> 
> Überprüfe das nochmal genau, am besten direkt in der DB. Das normale
> Verhalten von TYPO3 wäre, dass eine Seite nur einmal gecached	wird, auch wenn
> beliebig weitere Parameter übergeben werden. Die Parameter werden _nur_
> berücksichtigt (und führen nur dann zu einem eigenen Eintrag in der
> Cache-Tabelle), wenn deren MD5-Hash-Wert, kombiniert mit einem internen Hashwert,
> der in der localconf.php hinterlegt ist
> ($TYPO3_CONF_VARS['SYS']['encryptionKey']), identisch ist mit dem gleichzeitig übergebenen cHash-Parameter. 
> 
> Wenn das bei dir anders läuft, stimmt was nicht, weil dann das
> Standardverhalten von TYPO3 ausgehebelt wird. Wie testest du das? Wenn du die
> fakeParameter im RTE setzt, wird der cHash errechnet und mit übergeben - das
> wäre korrektes Verhalten. Du musst es testen, indem du die fakeparameter in
> der URL-Zeile des Browsers eintippst. Ausserdem ist es sinnvoll, dafür
> temporär realURL abzuschalten, da RealUrl den cHash-Parameter nicht zeigt,
> sondern m. W. in einer eigenen Cache-Tabelle speichert. 
> 
> Gruß
> Peter
> 
> Am 14.11.2012 um 14:09 schrieb c-we at gmx.net:
> 
> > Hallo,
> > 
> > folgendes Problem: 
> > Indexed Search greift auf den Cache des Typo3 zurück. Leider cached das
> Typo3 aber jeden Seitenaufruf unabhängiger davon, ob die übergebenen
> Parameter valide sind oder nicht.
> > 
> > Sprich ein Aufruf von
> www.example.com/de.html?parameter1=1&fakeparameter2=foo wird als eigene Seite im Cache gehalten und dadurch dann auch im
> Suchergebnis gefunden.
> www.example.com/de.html?parameter1=1&fakeparameter2=foo&parameter3=foo ebenso.
> > 
> > Gibt es eine Möglichkeit dem Typo3 mitzuteilen, dass solche Aufrufe
> nicht valide sind, nicht gecached werden dürfen und somit dann letztlich auch
> nicht im Suchergebnis landen?
> > Ideal wäre es, wenn man das Typo3 so konfigurieren könnte, dass solche
> Anfragen auf einer Fehlerseiten landen. Das Aktivieren von
> pageNotFoundOnCHashError führt genau dazu. Jedoch wird dann überhaupt keine Seite mehr
> gecached. 
> > 
> > Den index per Crawler aktuell zu halten kommt leider auch nicht in
> Frage.
> > 
> > Danke und viele Grüße
> > c-we
> > _______________________________________________
> > TYPO3-german mailing list
> > TYPO3-german at lists.typo3.org
> > http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
> 
> --
> Xing: http://www.xing.com/profile/Peter_Linzenkirchner
> Web: http://www.typo3-lisardo.de
> Facebook: http://tinyurl.com/lisardo-multimedia
> 
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

More information about the TYPO3-german mailing list