Opened 5 years ago

Last modified 3 years ago

#1025 new Frage

Überarbeitung des CSRF Tokens notwendig?

Reported by: Tomcraft Owned by: somebody
Priority: hoch Milestone:
Component: Sicherheit Version: 2.0.0.0

Description

Attachments (0)

Change History (7)

comment:1 Changed 5 years ago by Tomcraft

  • Summary changed from Überarbeitung des CSRF Token notwendig? to Überarbeitung des CSRF Tokens notwendig?

comment:2 Changed 5 years ago by anonymous

Ticket #828 ist doch schon gefixt?!

Last edited 5 years ago by Tomcraft (previous) (diff)

comment:3 Changed 5 years ago by Tomcraft

Ja, das Ticket #828 wurde bereits in r9682 korrigiert. Aber das hat ja mit dem beschriebenen Angriffsvektor nichts zu tun.

comment:4 Changed 5 years ago by h³

http://www.modified-shop.org/forum/index.php?topic=34965.msg325464#msg325464

noRiddle beschreibt es doch ganz gut, der Beitrag der hier verlinkt ist, ist ohne Problembeschreibung und somit Sinnlos.

Soweit ich den Code kenne, ist das doch schon seit Anfang der Implementation so wie dort beschrieben:

Und als dritte Maßnahme gegen CSRF kann man jedes Formular mit einem zufällig erzeugten und nur einmal gültigen Token versehen und diesen dann bei Anfragen serverseitig überprüfen.

Das Problem mit mehreren Tabs sollte aber behoben werden, wie in den Kommentaren von #828 beschrieben.

comment:5 Changed 5 years ago by Tomcraft

  • Milestone changed from modified-shop-2.0.2.1 to modified-shop-2.1.0.0

comment:6 Changed 5 years ago by Tomcraft

  • Milestone changed from modified-shop-2.1.0.0 to modified-shop-2.0.3.0

comment:7 Changed 3 years ago by Tomcraft

  • Milestone modified-shop-2.0.4.1 deleted

Add Comment

Modify Ticket

Action
as new
Author


E-mail address and user name can be saved in the Preferences.

 
Note: See TracTickets for help on using tickets.