Änderungen von Dokument Allgemeine Sicherheitsempfehlungen

Zusammenfassung

• Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Inhalt

...	...	@@ -12,6 +12,8 @@
12	12
13	13	=== Session-Management ===
14	14
	15	+Für den Betrieb von {{formcycle/}} ist es zwingend nötig dass der Benutzer sowohl innerhalb der Verwaltungsoberfläche als auch innerhalb des Formulars eine dem Server bekannte Sitzung erhält. Diese muss zum Beispiel zwischen Aufruf und Absenden eines Formulars identisch sein um zum Beispiel eine Prüfung gegen automatisiertes Absenden (z.B. für DoS-Attacken) zu gewährleisten.
	16	+
15	15	==== Tracking-Mode ====
16	16
17	17	Standardmäßig wird {{formcycle/}} in einer Konfiguration ausgeliefert in der sowohl die Formulare als auch die Verwaltungsoberfläche mit und ohne akzeptierte Cookies betrieben werden kann. Hierfür ist durch die Anwendung keine Einschränkung des sogenannten Tracking-modes konfiguriert. Sollten keine Cookies akzeptiert werden, so wird die Sitzungs-ID durch den Server (z.B. Tomcat) in die URL geschrieben. Ist die Benutzung von Cookies in allen gegebenen Anwendungsfällen und Umgebungen möglich, sollte dieses Verhalten hierfür abgeändert werden. Hintergrund ist, dass durch eine unachtsam weitergegebene URL mit Sitzungs-ID sonst sogenanntes Session-Hijacking möglich ist und dadurch ein Angreifer unberechtigte Zugriffe erlangen könnte.