[TYPO3-german] Language Parameter ?L=/proc/self/environ

David Sporer david.sporer at gmail.com
Thu Sep 4 12:44:08 CEST 2014 

Hallo Bernd,

vielen Dank.
Entfernt heißt in diesem Fall aber "nur", dass der Wert nicht verarbeitet
wird oder? Ich habe jetzt config.linkVars = L(0-3) gesetzt. Die Seiten
lassen sich aber immer noch mit ?L=/proc/self/environ aufrufen.

Viele Grüße und Danke
David


Am 4. September 2014 12:22 schrieb bernd wilke <t3ng at bernd-wilke.net>:

> Am 04.09.14 10:46, schrieb David Sporer:
>
>  Hallo zusammen,
>> ich habe die Pflege einer TYPO3-Seite übernommen, bei der sporadisch
>> ?L=/proc/self/environ in Links angehängt wird.Ich vermute, dass da
>> irgendwann mal ein Script versucht hat irgendwelche Umgebungsvariablen
>> auszulesen. Soweit ich das sehe, tut der Aufruf des GET-Parameters alleine
>> nicht weh, aber es ist trotzdem unschön.
>> Kennt das jemand bzw. weiß, wo ich da anfangen muss zu suchen?
>> Viele GrüßeDavid
>>
>>  dieser parameter könnte 'injected' sein.
>
> es gibt eine Konfiguration in TYPO3:
> config.linkVars
> in der URL.Parameter angegeben werden, die immer durchgereicht, also an
> jeden (internen) Link auf der Seite angehängt werden.
> Da L bei TYPO3 typischerweise die Sprachauswahl ist, ist L dort meistens
> eingetragen.
> Wenn man nichts weiter konfiguriert dann wird bei jedem Seitenaufruf mit
> dem Parameter L genau dieser Wert an alle Links angehängt, auch wenn er
> nciht aus der Website selber kommt, sondern von außen:
> http://domain.tld/index.php?id=123&L=irgendwas
>
> die dabei generierte Seite wird (inkl. aller Links und Linkparameter) dann
> auch noch gecachet. so bekommt der nächste Seitenbesucher die Seite aus dem
> Cacahe inkl. dieser Parameter.
> das kann sogar dazu führen, dass google die Seite(n) alle mit diesem
> Parameter indiziert und die Leute mit diesem Parameter auf deine Website
> schickt.
> Dies kann insbesonder dann passieren, wenn jemand deine Website mit einem
> speziellen L-Parameter aufruft, weil er ein anderes CMS vermutet, das bei
> Angabe dieses speziellen L-Wertes ein Sicherheitsloch öffnet. Damit ist
> dein Cache mit diesem Parameter verseucht. und google fidnet im nächsten
> index-Lauf deiner Seite den Parameter an jedem Link und ruft deine Seite
> demnächst sogar nur noch mit diesem Parameter auf: du bekommst den
> Parameter immer wieder rein.
>
>
> seit TYPO3 3.8 kann man das allerdings unterbinden, indem man die validen
> Werte für diese Durchreich-Paramter mit angibt:
> config.linkVars = L(0-3)
> jetzt werden nur noch die Werte 0,1,2,3 weiter gereicht. Andere Werte
> werden entfernt.
>
>
> bernd
> --
> http://www.pi-phi.de/cheatsheet.html
>
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
>

More information about the TYPO3-german mailing list