Ergebnis 1 bis 4 von 4

Thema: Request Token Frage zur Nutzung

  1. 14.06.2011, 21:51 #1
    BugBuster
    BugBuster ist gerade online
    Wandelndes Contao-Lexikon Avatar von BugBuster
    Registriert seit
    15.06.2009.
    Ort
    Berlin
    Beiträge
    10.513
    User beschenken
    Wunschliste

    Frage Request Token Frage zur Nutzung

    Hallöchen,
    nachdem ich massenweise die neue gelbe Meldung bekommen habe bei meinen Erweiterungen, habe ich mal ein bischen im Quellcode gestöbert und Anpassungen vorgenommen.
    Nun lese ich grad die Keynote von Leo und stutze.

    Im Quellcode fand ich folgende Beispiele:
    PHP-Code:
    echo '<input type="hidden" name="REQUEST_TOKEN" value="'.REQUEST_TOKEN.'">';
    bzw. im Template:
    <input type="hidden" name="REQUEST_TOKEN" value="<?php echo REQUEST_TOKEN?>">
    Dazu muss man wissen, das in der initialize.php die Konstante definiert wird.

    Im Keynote stand nun:
    PHP-Code:
    <input type="hidden" name="REQUEST_TOKEN" value="{{request_token}}"
    Kurzer Blick in die controller.php ergab, dieser Insert-Tag wird nicht im Cache mit abgelegt.

    Hmm, aber die erste Variante doch?
    Das würde doch bedeuten, eine Seite aus dem Cache geladen(mit einem Formular als Inhalt), bei Verwendung von der Konstanten würde bei Absendung eines Formulares doch den falschen Token haben (aus dem Cache), oder?

    Und was passiert, fällt mir grad ein, wenn der Browsercache genutzt wird?
    Wäre doch dann identisch zum Konstantenproblem?

    Oder wo ist mein Denkfehler?
    Grüße, BugBuster
    "view source" is your guide.
    Danke an alle Amazon Wunschlisten Erfüller
    ZitierenZitieren
  2. 14.06.2011, 22:12 #2
    xchs
    xchs ist offline
    Administrator Avatar von xchs
    Registriert seit
    19.06.2009.
    Beiträge
    14.557
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Wenn ich mich nicht täusche, wird die erste Variante für Backend-Templates verwendet, letztere für Frontend-Templates.
    Contao Community Administrator

    [Unterstützungsmöglichkeiten]
    ZitierenZitieren
  3. 14.06.2011, 22:25 #3
    BugBuster
    BugBuster ist gerade online
    Wandelndes Contao-Lexikon Avatar von BugBuster
    Registriert seit
    15.06.2009.
    Ort
    Berlin
    Beiträge
    10.513
    User beschenken
    Wunschliste

    Standard

    Hmm, klingt logisch.
    Grüße, BugBuster
    "view source" is your guide.
    Danke an alle Amazon Wunschlisten Erfüller
    ZitierenZitieren
  4. 15.06.2011, 22:19 #4
    xtcPlanet
    xtcPlanet ist offline
    Contao-Nutzer Avatar von xtcPlanet
    Registriert seit
    27.08.2010.
    Ort
    Traunreut
    Beiträge
    173

    Beitrag

    Das ist ja ein interessanter Threat )

    wollte heute in mein 2.10er Backend und mußte verdutzt feststellen, das mir ein Request (?) Token Error nach der Eingabe meiner Admin-Zugangsdaten angezeigt wird.

    Ich hab dort derzeit nur wenige Erweiterungen installiert (u.a. zwei große Erweiterungen den neuen Catalog + das Isotope Grundmodul).

    Nachdem ich eben nochmal einen Einlogversuch gestartet hatte, mußte ich wiederum verdutzt das es keinen solchen Error mehr gab und ich ins Backend kam.

    Laut System-Log habe soll ich ein falsches Passwort eingegeben haben - naja normalerweise gibt es bei solchen Fehler andere Fehlermeldungen.

    Also ich werde diesen Threat mal interessiert weiterverfolgen.
    ZitierenZitieren
« Vorheriges Thema | Nächstes Thema »

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  

Foren-Regeln