19.11.2010, 00:00 Uhr
Typo3 4.5: Neue Schutzmassnahmen für Eingabemasken
Eine Form Protection API wehrt im kommenden Release Angriffe auf das CMS ab. In Typo3 4.5 führen die Entwickler wieder neue Sicherheitsvorkehrungen ein, die Cross Site Request Forgery (CSRF) unterbinden sollen. Das Backend aktueller Typo3-Versionen ist generell angreifbar, wenn ein Angreifer sich gut genug auskennt. Klickt ein angemeldeter Nutzer beispielsweise auf einen manipulierten Link in einer E-Mail oder auf einer Website, und der Angreifer kennt die genaue URL des Formulars, das übermittelt werden sollte, kann der Angreifer mit diesen Daten jede Aktion des Editor ausführen, ohne dass weitere Sicherheitskontrollen erfolgen.
Ab Typo3 4.5 ist jede Aktion des Editors mit einem Token geschützt, so dass es Angreifern unmöglich ist, die URL zu wissen oder zu erraten, schreibt Helmut Hummel im Typo3-Entwicklerblog. Das neue Sicherheitssystem wird vorerst nur für Formulare und Editoren im Backend implementiert, kann aber auch auf Module im Frontend ausgedehnt werden. Für aktuelle Installationen gibt der Entwickler einige Tipps, die vor derartigen Angriffen schützen. (ph/phpj) Typo3 Blog
Ab Typo3 4.5 ist jede Aktion des Editors mit einem Token geschützt, so dass es Angreifern unmöglich ist, die URL zu wissen oder zu erraten, schreibt Helmut Hummel im Typo3-Entwicklerblog. Das neue Sicherheitssystem wird vorerst nur für Formulare und Editoren im Backend implementiert, kann aber auch auf Module im Frontend ausgedehnt werden. Für aktuelle Installationen gibt der Entwickler einige Tipps, die vor derartigen Angriffen schützen. (ph/phpj) Typo3 Blog
