[TYPO3-german] TYPO3 7.6 - wie Frontend-Login per IP-Adresse?
Gunter Königsmann
gunter at peterpall.de
Mon Apr 24 16:48:29 CEST 2017
On 24.04.2017 16:06, Frank G. wrote:
> Danke für die Rückmeldungen.
>
> Welche Möglichkeiten gibt es denn noch, bestimmte Inhaltselemente oder
> Seiten nur für definierte IP-Adressen anzuzeigen, wenn es über ein
> automatisches Frontend-Login so unsicher ist?
>
> Vielleicht noch kurz zur Info: Das automatische FE-Login erfolgt nur von
> Adressen aus unserem internen Netz, aus dem kein XSS zu erwarten ist -
> oder besteht das Sicherheitsrisiko auch für Zugriff von externen
> Adressen, die nicht angemeldet werden? Mit den genannten Extensions
> (cc_ip*) hatten wir das schon seit vielen Jahren realisiert und nie
> irgendwelche Probleme gehabt...
>
Ist nicht typo3-spezifisch, das Problem: Irgendein Programm findet
sich immer, das auf Pakete antwortet und dem man vorgaukeln kann,
dass man sich woanders befindet, als man ist. Das Ergebnis ist, dass man
einem Rechner, der dank passender IP-Adresse stets automatisch
angemeldet ist, befehlen kann, Dinge auf den Rechnern, auf denen er
angemeldet ist, zu unternehmen. Auch kann man manchmal IP-Adressen
fälschen und wenn jemand auf diese Weise die Kontrolle über einen
Rechner im Firmennetzwerk übernehmen kann, - dann hat er eine
komfortable Ausgangsbasis, besonders, wenn dieser Rechner einen Service
anbietet, der aus dem Internet erreichbar ist und er daher schwer zu
überwachen.
Wenn man das Login auf IP-Adressen beschränkt, von denen aus man auch
ein Login erwartet, macht das Angriffe etwas schwieriger. Aber nur
etwas. Besser ist ein schön langes Passwort und eine Verschlüsselung wie
https.
Ein schönes Beispiel, was passieren kann, wenn man auf einen
Sicherheitsmechanismus zu viel verzichtet, ist hier:
https://www.reddit.com/r/programming/comments/60jc69/company_with_an_httpserved_login_form_filed_a/df7vnzp/
Aber gibt viele weitere.
Gruß,
Gunter.
More information about the TYPO3-german
mailing list