Referer-Prüfung deaktivieren - große Sicherheitslücke?
Hallo zusammen,
bei einem meiner Projekte besteht der Wunsch, die Referer-Prüfung beim Absenden von Formularen abzuschalten. Wo immer man etwas dazu liest, hier im Forum und auch im offiziellen Buch, wird davon stark abgeraten, weil es eine Sicherheitslücke darstelle. Leo schrieb im TypoLight-Buch dazu sogar: "Sie können dieses Feature deaktivieren, wovon ich Ihnen aber dringend abrate, da sonst Hacker oder Spammer Ihre TypoLight-Installation 'fernsteuern' können."
Das Argument für die Abschaltung lautet, dass viele Firefox-Nutzer mit Anonymisierungsdiensten, entsprechenden Erweiterungen oder der Google-Toolbar, die das auch erlaubt, unterwegs sind und deshalb Contao-Formulare nicht absenden können. Außerdem seien die Formulare ja schon durch die Sicherheitsfrage vor Bots geschützt.
Meine Frage: Wie ist das einzuschätzen? Wie groß ist die Sicherheitslücke tatsächlich, wenn die Referer-Prüfung wegfällt? Ich habe stets ein mulmiges Gefühl dabei, irgendwo ein Loch aufzumachen. Verfängt das Argument mit der Sicherheitsfrage?
Würde mich freuen, von Euch dazu eine Einschätzung zu bekommen.
Viele Grüße!
- Forum
- Was ist neu?
-
Contao News
-
Contao Links
- Contao Projektwebsite (contao.org)
- Contao Association (offizieller Verein)
- Contao Check (Diagnose)
- Contao-Fehler melden (Bug Tracker)
- Contao Erweiterungsliste (ER)
- Contao Release-Plan
- Alte Contao-Versionen herunterladen
- Offizielle Contao Dokumentation
- Contao für Redakteure (Handbuch für Contao 2.x)
- Contao Community Documentation (Wiki, Fanprojekt)
- Contao Community Alliance (CCA, Fanprojekt)
- Contao Community (English)
- Contao Community (Français)
- Contao Community (Polskie)
- Contao Slack Workspace
- Contao Google-Suche
- Forenregeln
- Impressum
Zitieren
Lesezeichen