| ... |
... |
@@ -4,10 +4,8 @@ |
| 4 |
4 |
|
| 5 |
5 |
FORMCYCLE sollte, wenn möglich gerade im Internet nur über HTTPS bereitgestellt werden. Dies erhöht die Sicherheit der abgesendeten Daten, sodass diese über Netzwerk-Sniffing nicht mitgelesen oder per Man-in-the-middle manipuliert werden können. Sollte es möglich sein sollte der http-Connector komplett deaktiviert werden. |
| 6 |
6 |
|
| 7 |
|
-Konfiguration von HTTPS: |
|
7 |
+Weitere Details unter [[Bereitstellung über HTTPS>>doc:Formcycle.SystemSettings.TomcatSettings.Bereitstellung über HTTPS.WebHome||target="_blank"]] |
| 8 |
8 |
|
| 9 |
|
-[[https:~~/~~/help.formcycle.de/xwiki/bin/view/Formcycle/SystemSettings/TomcatSettings/Bereitstellung%20%C3%BCber%20HTTPS/>>url:https://help.formcycle.de/xwiki/bin/view/Formcycle/SystemSettings/TomcatSettings/Bereitstellung%20%C3%BCber%20HTTPS/]] |
| 10 |
|
- |
| 11 |
11 |
=== Session-Management === |
| 12 |
12 |
|
| 13 |
13 |
==== Tracking-Mode ==== |
| ... |
... |
@@ -14,10 +14,8 @@ |
| 14 |
14 |
|
| 15 |
15 |
Standardmäßig wird FORMCYCLE in einer Konfiguration ausgeliefert in der sowohl die Formulare als auch die Verwaltungsoberfläche mit und ohne akzeptierte Cookies betrieben werden kann. Hierfür ist durch die Anwendung keine Einschränkung des Tracking-modes konfiguriert. Sollten keine Cookies akzeptiert werden, so wird die Sitzungs-ID durch den Servlet-Container (z.B. Tomcat) in die URL kodiert. Ist die Benutzung von Cookies in allen gegebenen Anwendungsfällen und Umgebungen möglich, sollte dieses Verhalten abgeändert werden. Hintergrund ist, dass durch eine unachtsam weitergegebene URL mit Sitzungs-ID sonst sogenanntes Session-Hijacking möglich ist und dadurch ein Angreifer unberechtigte Zugriffe erlangen könnte. |
| 16 |
16 |
|
| 17 |
|
-Konfiguration des Session-Trackings: |
|
15 |
+Weitere Details unter [[Session-Tracking>>url:xwiki/bin/view/Formcycle/SystemSettings/TomcatSettings/#HSession-Tracking||rel=" noopener noreferrer" target="_blank"]] |
| 18 |
18 |
|
| 19 |
|
-[[https:~~/~~/help.formcycle.de/xwiki/bin/view/Formcycle/SystemSettings/TomcatSettings/#HSession-Tracking>>url:https://help.formcycle.de/xwiki/bin/view/Formcycle/SystemSettings/TomcatSettings/#HSession-Tracking]] |
| 20 |
|
- |
| 21 |
21 |
==== Cookie-Konfiguration ==== |
| 22 |
22 |
|
| 23 |
23 |
Sollte FORMCYCLE ausschließlich über HTTPS betrieben werden ist es empfohlen die entsprechende Einstellung am Cookie zu hinterlegen. Diese verhindert, dass die Cookies bei Aufrufen über HTTP gesetzt und benutzt werden. Sollte FORMCYCLE dennoch über HTTP aufgerufen werden, so greift der ggf. noch vorhandene Fallback mit in der URL kodierten Session-ID. |
