WBCE CMS Forum

WBCE CMS – Way Better Content Editing.

You are not logged in.

#1 07.01.2016 13:15:09

webbird
Administrator

Nach fest kommt ab...

Vielleicht bin ich ja etwas leichtfertig, aber muß das echt sein?

<?php // Changed by PCWacht - send secured id instead of plain id ?>

An der Stelle wird die Datenbank-ID der gelisteten Droplets in einen sogenannten "secure string" konvertiert. So steht dann hinterher im Aufruf nicht mehr "?droplet_id=99" sondern sowas wie "?droplet_id=wpEan7kuJQKw6NhnaCNV0w--" - was man zum Verarbeiten natürlich auch wieder zurück konvertieren muß. Also nennt mich ruhig leichtsinnig, aber ist das nicht etwas übertrieben?


Ich habe eine Amazon-Wishlist. wink Oder spende an das Projekt.
Ich kann, wenn ich will, aber wer will, dass ich muss, kann mich mal

Offline

#2 07.01.2016 19:07:19

florian
Administrator

Re: Nach fest kommt ab...

evtl, um Cross-Site-Scripting zu erschweren? Aber wenn das auch anders gewährleistet ist, erschließt sich mir der Sinn auch nicht so recht.


Sorgen sind wie Nudeln: man macht sich meist zu viele.

Offline

#3 07.01.2016 22:22:42

evaki
Guest

Re: Nach fest kommt ab...

#4 08.01.2016 10:23:15

norhei
Developer

Re: Nach fest kommt ab...

Ist ab ;-)

Spass beiseite , Idkeys sind nur eingeführt worden weil Singletab keine mehreren Ftans pro seiten konten.
Idkeys tun genau das, sie verscheiern die ID damit man die nicht raten/wissen kann und den eingelogten Admin oder ein fehlerhaft eingelogtes Script nicht einfach dazu veranlassen kann mit dder ID eine Funktion auszuführen.
Sonst könnte man genauso gut als get Parameter eine Ftan mitgeben, die sicherstellt, das der Admin nicht über einen Vergifteten Link gekommen ist.
Dann kann man IDkey auch möglicherweise weglassen.

Offline

#5 08.01.2016 14:51:55

webbird
Administrator

Re: Nach fest kommt ab...

CSRF ließe sich besser erschweren, wenn das Backend auf https liefe, aber das ist ein anderes Faß. angel
Ich hab das jetzt mal weggelassen und übergebe die IDs wieder, wie sie sind. Das ist ja nun bei den Droplets auch nicht gefährlicher als anderswo.


Ich habe eine Amazon-Wishlist. wink Oder spende an das Projekt.
Ich kann, wenn ich will, aber wer will, dass ich muss, kann mich mal

Offline

#6 09.01.2016 16:59:07

norhei
Developer

Re: Nach fest kommt ab...

ich hatte ja schon gesagt wenn Du mit den Droplets soweit bist , implementier ich das mit der sicherheit.

Offline

Board footer

up