[TYPO3-german] AJAX Session Sicherheit
Georg Schönweger
gearg.schenveger at virgilio.it
Thu Aug 30 10:59:00 CEST 2007
verdrückt xD, sry
also, wenn du ein deinem eID Script folgenden Code einfügst;
$feUserObj = tslib_eidtools::initFeUser();
dann wird die Authentifizierung wie bei der normalen FE-Seite
ausgeführt. Über $feUserObj bekommst du dann einige Informationen über
den aktuell eingeloggten oder nicht eingeloggten User
($feUserObj["user"]). Ich arbeite gerade an einer AJAX Extension fürs
Backend, und da hier schon die Rede von AJAX ist; Kennt sich da jemand
aus? Wie identifiziert man am besten in einem AJAX - PHP File ob es sich
um einen Backend - User handelt. Meine 2 Ansätze wären
a) im Script die Datei typo3/init.php includieren und die normale
BE-Authentifzierung starten (langsam?)
b) einen MD5-Hash per PHP errechnen, dem Clienten im Javascript mitgeben
und dann im AJAX-PHP Script vergleichen (schneller aber nicht so sicher?)
grüsse, Georg
Georg Schönweger schrieb:
> Hallo Achim,
>
> wenn du in deinem eID Script folgenden Code einfügst;
>
> Achim Gerber schrieb:
>
>> Hallo!
>>
>> Ich bin am herum experimentieren mit AJAX. Das haben sicherlich schon
>> einige von euch getan und von daher auch schon antworten.
>>
>> Unter der Annahme dass das Typo3 Session Handling sicher ist:
>> Cookies werden mit jeder geladenen Seite ausgetauscht und somit
>> sichergestellt, dass es sich um den selben registrierten Benutzer handelt.
>>
>> Wie ist das nun bei AJAX anfragen? Es gibt ja den eID mechanismus mit
>> dem man Daten in einer entsprechenden Extension bereitstellen kann.
>> Wie kann nun sichergestellt werden, dass die AJAX Anfrage auf die eID
>> URL von einem Browser kommt, dessen Benutzer sich vorher authentifiziert
>> hat?
>>
>> Werden bei AJAX Anfragen auch die Cookies mituebertragen?
>>
>> Wie viele Typo3 module muss ich in meiner eID Routine einbinden, dass
>> entsprechende Variablen auch sicher gesetzt sind?
>>
>> Ich hoffe, dass es da schon Erfahrungen gibt, denn das alles sicher und
>> lueckenlos auszutesten ist etwas aufwendig.
>>
>> Liebe Gruesse - Achim
>>
>>
>> _______________________________________________
>> TYPO3-german mailing list
>> TYPO3-german at lists.netfielders.de
>> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-german
>>
>>
>>
>
>
>
More information about the TYPO3-german
mailing list