[TYPO3-UG Dutch] Typo3abc

[Patrick Broens]

De referer check is eigenlijk overbodig, omdat het geen enkele 
veiligheid biedt. Je kunt namelijk niet afgaan op de HTTP_REFERER, omdat 
deze gemakkelijk nagebootst kan worden of gefilterd door firewalls of 
andere beveiliging.

Mijn advies is dan ook om doNotCheckReferer altijd aan te zetten in 
TYPO3 om problemen te voorkomen. In Intranetsituaties kan het geen kwaad 
deze uit te zetten, maar voor het Internet is de referercheck onbetrouwbaar.

Wat mij betreft zou deze configuratievariabele dan ook standaard aan 
mogen staan in de install tool van TYPO3.

Het is dan ook vreemd dat ze de referer check toepassen in typo3abc.com.

Patrick

Daniel Doesburg wrote:
> Patrick Scholman schreef:
> 
>> Hoi Daniel,
>>
>> En waar ligt het gevaar in doen wat de foutmelding suggereert?
>>
>>> The site administrator can disable this check in the "All 
>>> Configuration" section of the Install Tool (flag: 
>>> TYPO3_CONF_VARS[SYS][doNotCheckReferer]).
>>
>> Mij overkomt dit namelijk ook regelmatig en dan schakel ik de referer 
>> check uit in de Install tool. Is daar iets (erg) mis mee?
> 
> 
> Er zijn hier lezers die er veel zinniger dingen over kunnen zeggen, maar 
> als ik iets moet verzinnen zou het met hacken, of juist het tegengaan 
> daarvan te maken hebben. Het riekt naar mijn idee naar het weren van 
> onverlaten die geen sporen na willen laten.
> 
> Maar nogmaals, ik ben geen beveiligings expert.
> Misschien dat Patrick Broens of Jos er iets over kunnen zeggen. En Ries 
> heb ik, wat dit onderwerp betreft, ook hoog.
> 
> Groeten,
> 
> Daniel
>