Hallo zusammen,
bei einem meiner Projekte besteht der Wunsch, die Referer-Prüfung beim Absenden von Formularen abzuschalten. Wo immer man etwas dazu liest, hier im Forum und auch im offiziellen Buch, wird davon stark abgeraten, weil es eine Sicherheitslücke darstelle. Leo schrieb im TypoLight-Buch dazu sogar: "Sie können dieses Feature deaktivieren, wovon ich Ihnen aber dringend abrate, da sonst Hacker oder Spammer Ihre TypoLight-Installation 'fernsteuern' können."
Das Argument für die Abschaltung lautet, dass viele Firefox-Nutzer mit Anonymisierungsdiensten, entsprechenden Erweiterungen oder der Google-Toolbar, die das auch erlaubt, unterwegs sind und deshalb Contao-Formulare nicht absenden können. Außerdem seien die Formulare ja schon durch die Sicherheitsfrage vor Bots geschützt.
Meine Frage: Wie ist das einzuschätzen? Wie groß ist die Sicherheitslücke tatsächlich, wenn die Referer-Prüfung wegfällt? Ich habe stets ein mulmiges Gefühl dabei, irgendwo ein Loch aufzumachen. Verfängt das Argument mit der Sicherheitsfrage?
Würde mich freuen, von Euch dazu eine Einschätzung zu bekommen.
Viele Grüße!
Lesezeichen