[TYPO3-german] Schutz in Frontend-Plugin vor Cross-Site-Request-Forgery
Helmut Hummel
helmut.hummel at typo3.org
Wed Jan 6 13:29:06 CET 2016
Hi!
Johannes C. Laxander wrote:
> Nein, bei meiner Extension ist im FE keine Benutzeranmeldung erforderlich.
> Du meintest doch die FE-Benutzeranmeldung, oder?
Ja meinte ich. Gute Nachrichten für Dich. Du brauchst Dich dann nicht um
CSRF Schutz kümmern. Ein CSRF Angriff hat nur relevanz wenn ein
Angreifer einen Link erzeugen kann, den ein angemeldeter Benutzer dann
(ohne Wissen und Zustimmung) aufruft und damit dann priviligierte
Aktionen ausführt.
Wenn alle Aktionen Deines Plugins eh öffentlich sind, dann bringt Dir
ein CSRF Token Schutz nichts!
Kind regards,
Helmut
--
Helmut Hummel
Release Manager TYPO3 6.0
TYPO3 CMS Active Contributor, TYPO3 Security Team Member
TYPO3 .... inspiring people to share!
Get involved: typo3.org
More information about the TYPO3-german
mailing list