[TYPO3-german] Schutz in Frontend-Plugin vor Cross-Site-Request-Forgery
Helmut Hummel
helmut.hummel at typo3.org
Tue Jan 5 15:42:09 CET 2016
Hi!
Johannes C. Laxander wrote:
> Zwischen den Jahren ist ja meistens etwas Zeit sich Themen zu befassen, für
> die im Tagesgeschäft wenig Zeit bleibt. Da ich nicht der klassische
> Entwickler bin, ich aber trotzdem eine eigene Extension entwickelt habe,
> sehe ich mich natürlich auch mit dem Thema „Cross-Site-Request-Forgery“
> konfrontiert. Zumal es für die Version 7 LTS heißt: „…müssen
> Frontend-Plugins jetzt selbst für Schutz sorgen.“ Und an dieser Stelle bin
> ich im Moment „überfordert“. Dazu zwei Fragen:
>
> 1. Bedeutet das gleichsam, dass ich bei TYPO3 6.2 nicht selbst dafür sorgen
> muss?
Es bedeutet, dass Du in der Version 6.2 alles selbst machen musstest.
> 2. Was muss ich in meiner Extension ändern / ergänzen, damit ich unter 7 LTS
> den notwendigen Schutz habe?
Du musst mit Hilfe der FormProtection Klasse Tokens generieren und prüfen.
Ein CSRF Angriff ist allerdings nur interessant, sofern Deine
Appliaktion (Extension) mit Benutzeranmeldungen fungiert. Ist das bei
Dir der Fall?
Kind regards,
Helmut
--
Helmut Hummel
Release Manager TYPO3 6.0
TYPO3 CMS Active Contributor, TYPO3 Security Team Member
TYPO3 .... inspiring people to share!
Get involved: typo3.org
More information about the TYPO3-german
mailing list