Hallo Bernd, vielen Dank. Entfernt heißt in diesem Fall aber "nur", dass der Wert nicht verarbeitet wird oder? Ich habe jetzt config.linkVars = L(0-3) gesetzt. Die Seiten lassen sich aber immer noch mit ?L=/proc/self/environ aufrufen.
Viele Grüße und Danke David Am 4. September 2014 12:22 schrieb bernd wilke <t...@bernd-wilke.net>: > Am 04.09.14 10:46, schrieb David Sporer: > > Hallo zusammen, >> ich habe die Pflege einer TYPO3-Seite übernommen, bei der sporadisch >> ?L=/proc/self/environ in Links angehängt wird.Ich vermute, dass da >> irgendwann mal ein Script versucht hat irgendwelche Umgebungsvariablen >> auszulesen. Soweit ich das sehe, tut der Aufruf des GET-Parameters alleine >> nicht weh, aber es ist trotzdem unschön. >> Kennt das jemand bzw. weiß, wo ich da anfangen muss zu suchen? >> Viele GrüßeDavid >> >> dieser parameter könnte 'injected' sein. > > es gibt eine Konfiguration in TYPO3: > config.linkVars > in der URL.Parameter angegeben werden, die immer durchgereicht, also an > jeden (internen) Link auf der Seite angehängt werden. > Da L bei TYPO3 typischerweise die Sprachauswahl ist, ist L dort meistens > eingetragen. > Wenn man nichts weiter konfiguriert dann wird bei jedem Seitenaufruf mit > dem Parameter L genau dieser Wert an alle Links angehängt, auch wenn er > nciht aus der Website selber kommt, sondern von außen: > http://domain.tld/index.php?id=123&L=irgendwas > > die dabei generierte Seite wird (inkl. aller Links und Linkparameter) dann > auch noch gecachet. so bekommt der nächste Seitenbesucher die Seite aus dem > Cacahe inkl. dieser Parameter. > das kann sogar dazu führen, dass google die Seite(n) alle mit diesem > Parameter indiziert und die Leute mit diesem Parameter auf deine Website > schickt. > Dies kann insbesonder dann passieren, wenn jemand deine Website mit einem > speziellen L-Parameter aufruft, weil er ein anderes CMS vermutet, das bei > Angabe dieses speziellen L-Wertes ein Sicherheitsloch öffnet. Damit ist > dein Cache mit diesem Parameter verseucht. und google fidnet im nächsten > index-Lauf deiner Seite den Parameter an jedem Link und ruft deine Seite > demnächst sogar nur noch mit diesem Parameter auf: du bekommst den > Parameter immer wieder rein. > > > seit TYPO3 3.8 kann man das allerdings unterbinden, indem man die validen > Werte für diese Durchreich-Paramter mit angibt: > config.linkVars = L(0-3) > jetzt werden nur noch die Werte 0,1,2,3 weiter gereicht. Andere Werte > werden entfernt. > > > bernd > -- > http://www.pi-phi.de/cheatsheet.html > > _______________________________________________ > TYPO3-german mailing list > TYPO3-german@lists.typo3.org > http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german > _______________________________________________ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
