[TYPO3-german] Der Cookie fe_typo_user: Geändertes Verhalten zwischen 6.2.3 und 6.2.4

[Valentin R]

Liebes Forum,

wir haben ein Extranet mit einer geschlossenen Benutzergruppe entwickelt bei der sich die Benutzer über einen Parameter in der URL anmelden können. (Privilege Escalation wird dadurch vermieden, dass die Benutzer keinen Einfluss auf das Setzen des Parameters haben)!

Möchte sich der Benutzer anmelden und besitzt aber schon den Cookie fe_typo_user aus einer vorhergehenden Anmeldung, so reagiert Typo3 Version 6.2.3 wie folgt (gekürzte Ausgabe von tcpdump/wireshark):

GET /index.php?user=40026706 HTTP/1.1
Cookie: nc_staticfilecache=fe_typo_user_logged_in; fe_typo_user=6c3b39633e778b771c9289fcd0e4cfec

HTTP/1.1 303 See Other
Location: ht tp://entextranet.company.com/index.php?id=2
Set-Cookie: fe_typo_user=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/
Set-Cookie: fe_typo_user=6c3b39633e778b771c9289fcd0e4cfec; path=/; httponly

Der alte Cookie wird gelöscht und einer neuer wird ausgeliefert. Der Benutzer ist erfolgreich angemeldet!

Das Szenario sieht bei Version 6.2.4+ von Typo3, wie folgt, aus:

GET /index.php?user=40026706 HTTP/1.1
Cookie: nc_staticfilecache=fe_typo_user_logged_in; fe_typo_user=95baf7ae6ed0037092004c6e1707c685

HTTP/1.1 303 See Other
Location: ht tp://entextranet.company.com/index.php?id=2
Set-Cookie: fe_typo_user=deleted; expires=Thu, 01-Jan-1970 00:00:01 GMT; path=/
Set-Cookie: nc_staticfilecache=fe_typo_user_logged_in; path=/

Leider wird nur der alte Cookie gelöscht aber kein neuer mehr ausgeliefert. Der Benutzer kann sich zunächst nicht mehr anmelden :-(

Probiert er es ein weiteres mal wird der Cookie wieder gesetzt und er ist angemeldet. Aber dieser Workaround ist dem Anwender nicht zuzumuten.

Wir sind für jeden Hinweis sehr dankbar! Vielen Dank

Valentin