fro*_*ken 5 security caching typo3 typo3-6.2.x
我不明白上周的安全补丁:https://typo3.org/teams/security/security-bulletins/typo3-core/typo3-core-sa-2016-022/.我有一个旧的TYPO3 6.2安装.我已截断所有cf_*表并使用UID 2-6打开页面.没有cHash.结果我看到13个cf_cache_hash条目.现在我已经从前端的列表页面打开了一个详细信息页面.我在URL中看到一些参数,如action,controller,当前显示记录的UID以及导致cHash的参数.然后我将这些参数(不包括id = x)复制到我的2-6页的URL.在cf_cache_hash中,我还有13条记录.因此,没有缓存泛滥.
或者我如何解释这句话:
具有有效cHash参数的链接将导致新生成的页面缓存条目.由于cHash未绑定到特定页面,因此攻击者可以对多个页面使用有效的cHash参数,从而导致其他无用的页面缓存条目.
下一个问题:
如果使用像realurl这样的扩展,则需要刷新它们的缓存(以及TYPO3缓存)
你能告诉我哪些表我/我们应该清楚吗?
也许没问题.但是tx_realurl_pathcache怎么样?当然,我可以清楚这一点,但是早期的realurl配置的旧条目呢?如果我截断该表,则这些旧条目不再有效,并且它们不会再次构建.因此,旧的搜索引擎结果无效.
来自我们的一位客户的问题:是否足以清除后端的系统缓存,还是应该单击Installtool中的Clear all Cache?尼斯.IMO,这是不够的,表格必须直接在DB上截断.对.
下一个:
这意味着如果此类URL由搜索引擎编入索引,则此搜索引擎的访问者将最终处于不正常工作的页面上.
嘿很酷.现在?解决办法是什么?保持原样吗?IMO它取决于一个名为:pageNotFoundOnCHashError的InstallTool设置.对?
请告诉我们该怎么做,请添加更多细节如何处理.
斯特凡
小智 3
对我来说,它归结为(安装更新的 TYPO3 版本后):
如果不使用realurl:启用
$GLOBALS['TYPO3_CONF_VARS']['FE']['cHashIncludePageId'] = true;
& 你可能已经“完成”了。当然,所有旧的谷歌点击都会被完成,但在“公共”网站上,如果你没有运行 realurl (或类似的),你很可能从来不关心谷歌
如果您在 6.2 上使用 realurl 1.X
不要启用配置(可能永远不会有合适的补丁)
两种选择:
如果您运行 7.6+ 和 realurl 2