Modify

Opened 9 years ago

Last modified 8 years ago

#1025 new Frage

Überarbeitung des CSRF Tokens notwendig?

Reported by: Torsten Riemer Owned by: somebody
Priority: hoch Milestone:
Component: Sicherheit Version: 2.0.0.0
Keywords: Cc:
Blocked By: Blocking:

Description

Siehe dazu: CSRFToken nicht definiert...

Attachments (0)

Change History (7)

comment:1 by Torsten Riemer, 9 years ago

Summary: Überarbeitung des CSRF Token notwendig?Überarbeitung des CSRF Tokens notwendig?

comment:2 by anonymous, 9 years ago

Ticket #828 ist doch schon gefixt?!

Last edited 9 years ago by Torsten Riemer (previous) (diff)

comment:3 by Torsten Riemer, 9 years ago

Ja, das Ticket #828 wurde bereits in r9682 korrigiert. Aber das hat ja mit dem beschriebenen Angriffsvektor nichts zu tun.

comment:4 by , 9 years ago

http://www.modified-shop.org/forum/index.php?topic=34965.msg325464#msg325464

noRiddle beschreibt es doch ganz gut, der Beitrag der hier verlinkt ist, ist ohne Problembeschreibung und somit Sinnlos.

Soweit ich den Code kenne, ist das doch schon seit Anfang der Implementation so wie dort beschrieben:

Und als dritte Maßnahme gegen CSRF kann man jedes Formular mit einem zufällig erzeugten und nur einmal gültigen Token versehen und diesen dann bei Anfragen serverseitig überprüfen.

Das Problem mit mehreren Tabs sollte aber behoben werden, wie in den Kommentaren von #828 beschrieben.

comment:5 by Torsten Riemer, 9 years ago

Milestone: modified-shop-2.0.2.1modified-shop-2.1.0.0

comment:6 by Torsten Riemer, 9 years ago

Milestone: modified-shop-2.1.0.0modified-shop-2.0.3.0

comment:7 by Torsten Riemer, 8 years ago

Milestone: modified-shop-2.0.4.1

Modify Ticket

Action
as new The owner will remain somebody.

Add Comment
E-mail address and name can be saved in the Preferences .
AttachmentsDescription
 
Note: See TracTickets for help on using tickets.