[TYPO3-german] [TYPO3 german] TYPO3 4.2.6 und 4.3.0alpha2 Logout sofort nach Login im Backend

Christian Wolff chris at connye.com
Fri Apr 17 13:53:23 CEST 2009


Andreas Becker schrieb:
> Hi Nils
> Teilerfolg
> 
> http://www.typo3-jack.net/typo3-english-lists-netfielders-de/14594-typo3-backend-timeout-problem.html
> 
> dieser Thead brachte uns auf eine Interim Loesung.
> Obwohl wir bei diesem Kunden NIE ein Probleme mir der default einstellung
> von LockIP hatten (4) funktioniert nun die Seite wenn wir diesen Wert auf
> (0) setzten - also disable.
> 
> Kann uns einer der sich mit Sicherheit gut auskennt nun einmal erklaeren wie
> unsicher nun das System wird, wenn man diesen Wert auf "0" setzt. (Andere
> Loesung haben wir bisher leider nicht gefunden, den auch doNotCheckRefferer
> = 1 brachte keinen Erfolg.
> 
> Nils checke einmal ob das auch bei dir hilft und lass es uns wissen. Danke!
> 
> $TYPO3_CONF_VARS['BE']['lockIP'] = '0'
> 
> Probiere auch die Werte 1,2,3 aus evtl brauchst du ja nicht die kompette IP
> disablen
> 
> Andi

Hi Andi,
die einstellung "lockIP".
macht folgendes:

du lockest dich ein. (und bekommst einen Session-cookie, mit Session-id)
wenn lockIP aktiviert ist wird auf dem server festgelegt das diese
Session nur von deiner IP aus anfragen stellen darf.

das verhindert das jemand anders dir deine SESSION Stehlen kann.
z.b in dem er mit hilfe einer browser lücke die Same-Origin policy von
javascript umgeht. und es so schaft von einer anderen domain aus deine
cookies auszulesen. gibt natürlich noch andere möglichkeite die session
ID zu kommen.(trojaner,network-sniffing,etc.)

Wenn LockIP abgeschaltet ist. kann man deine SESSION von Belibigen IP
adressen nutzen.

ich würde sagen es erhöht das risiko. ist aber keine direkte einladung
weil der "angreifer" immer noch über irgend einen weg an die Session-id
kommen muss. um so zu tun als ob der du währe. und möglicher weise gibt
es für den angreifer einfachere ziele. (schwache passwörter, extensions
mit sicherheitslücken, etc). die es ihm vorallem dauerhaften zugang zu
bekommen. so eine SESSION wird ja beendet sobald du dich ausloggest. das
heist der Angreifer wird versuchen. sich innerhalb deiner session einen
eigenen user anzulegen um dauerhaften zugriff zu bekommen.

warscheinlich nutzt du einen Proxyserver oder etwas anderes sorgt dafür
das sich deine externe IP häufig ändert. falls du einfluss darauf hast
könntest du versuchen das abzustellen. um dann lockIP wieder zu aktivieren.

gruss chris

-- 
Christian Wolff // Berlin
http://www.connye.com

some projects:
http://richtermediagroup.com | http://titanic.de |
http://fairplay-homepage.de


More information about the TYPO3-german mailing list