[TYPO3-german] Sicherheit: Firefox, Passwort-Manager und TYPO3-Backend
Markus Bucher
markus.bucher at bedv.de
Fri Jul 20 13:36:06 CEST 2007
Hallo,
unter http://www.heise.de/newsticker/meldung/92994 wird eine
Schwachstelle dokumentiert, die insbesondere bei TYPO3 zu einem Problem
führen kann.
Wenn im Backend-login-Formular unter www.domain.tld/typo3/index.php
Dateien im Passwort-Manager von Firefox, Safari oder Netscape
gespeichert worden sind, werden diese in einem nachgebauten Formular
unter www.domain.tld/index.php?id=1234 ebenfalls eingetragen und können
daraufhin etwa per javascript weiterverarbeitet werden. Dies liegt
daran, dass der Passwort-Manager nur die Domain und Formularnamen prüft.
Eine Lösung ist, das Login unter login.domain.tld anzubieten, da der
Passwort-Manager dort gespeicherte Daten nicht unter www.domain.tld
einträgt.
Gruß,
Markus Bucher
More information about the TYPO3-german
mailing list