[Gruenbaer]

Huhu!

Geschützte Seiten werden nach dem Kundenlogin angezeigt.

Leider sind sie immer noch im Cache des Browsers nachdem er sich ausgeloggt hat.
Sprich, man kann sich die geschützten Seiten über den Back Button angucken, obwohl man gar nicht mehr eingeloggt ist.

Das ist sehr unschön, da der geschützte Bereich sensible Daten enthält.

Wie bekomme ich es hin, dass jemand ausgeloggtes der den Back Button benutzt, die Meldung bekommt, dass die Seite abgelaufen/ungültig ist (wie z.b. beim Onlinebanking)?
Ein redirect auf die Loginseite wäre auch gut.

Danke!

Emil

[mic_jan]

Eigentlich kann das nicht sein, aber check mal den HTTP-Header der Seiten während du eingleoggt bist. Und überprüf mal ob das was con chache etc. steht.

Gruss,

Michael

[Gruenbaer]

Versteh ich nicht.
Was genau kann denn gar nicht sein?

Was im Header steht habe ich unten angehängt.

Was genau meinst Du mit con cache, etc.?

Bin noch relativ neuer Typo3er, bitte etwas genauer erklären

Danke!

Emil

HTML-Code:

<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE html
     PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
     "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="de" lang="de"> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <!-- 
	This website is powered by TYPO3 - inspiring people to share!
	TYPO3 is a free open source Content Management Framework initially created by Kasper Skaarhoj and licensed under GNU/GPL.
	TYPO3 is copyright 1998-2006 of Kasper Skaarhoj. Extensions are copyright of their respective owners.
	Information and contribution at http://typo3.com/ and http://typo3.org/
--> <link rel="SHORTCUT ICON" href="fileadmin/favicon.ico" /> <link rel="stylesheet" type="text/css" href="typo3temp/stylesheet_10c4081821.css" /> <meta http-equiv="expires" content="0" /> <meta http-equiv="pragma" content="no-cache" /> <link href="fileadmin/template/final/css/base.css" type="text/css" rel="stylesheet" media="screen" /> <link href="fileadmin/template/final/css/menu.css" type="text/css" rel="stylesheet" /> <script type="text/javascript" src="fileadmin/template/final/css/menu.js"></script> <title>nulabor +49(0)221 310 53 90</title> <meta name="generator" content="TYPO3 4.1 CMS" /> <script type="text/javascript" src="typo3temp/javascript_26e79dba8d.js"></script> </head>

[mic_jan]

Hi,

also das "con" sollte eigentlich ein "von" sein.

Also ich würde als erstes den HTTP-Header checken. Den du hier reinkopiert hast würde ich eher als HTML-Header ansehen.

Den HTTP-Header bekommst du im Firefox hiermit:
https://addons.mozilla.org/de/firefox/addon/3829

Und der Teil könnte für dich interessant sein:

Code:

HTTP/1.x 200 OK
Date: Thu, 12 Jul 2007 12:52:30 GMT
Server: Apache/1.3 (Unix) mod_ssl/2.8.28 OpenSSL/0.9.8d AuthPG/1.3 FrontPage/5.0.2.2635
Cache-Control: max-age=21600
Content-Encoding: gzip
Etag: b16631b5810fcd7844004f38119c4a37
Expires: Thu, 12 Jul 2007 18:52:30 GMT
Pragma: public
X-Content-Encoded-By: class.gzip_encode 0.66
X-Powered-By: PHP/4.4.1
Last-Modified: Mon, 09 Jul 2007 18:54:39 GMT
Content-Length: 8735
Connection: close
Content-Type: text/html;charset=utf-8

Besonders Cache-Control, Pragma und Expires. Sowas würde ich standardmäßig als erstes checken.

Gruss,

Michael

[Gruenbaer]

Habe die ext installiert und unten angehängten Output bekommen.
Sieht doch eigentlich richtig aus, oder?
Expires mit einem Datum des Jahres 2000 hatte ich auch schon als meta tag probiert, klappt auch nicht.

Trotzdem werden die geschützten Seiten sowohl im FF als auch IE gespeichert und sind nach dem logout per Back Button einsehbar...

Wie machen das denn die Banken? Würde es mit SSL funktionieren?

SSL möchte ich aber eher nicht benutzen, da ich kein echtes SSL Zertifikat habe, sondern nur einen SSL proxy. Daher würde man den proxy dann immer in der Adresse sehen, a la https://ssl-sites.de/domain.com. Auch nicht schön.

Gruß,

Emil

HTML-Code:

http://www.domain.com/

GET / HTTP/1.1
Host: www.domain.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://www.domain.com/
Cookie: fe_typo_user=b02b2eddb7; PHPSESSID=f488425d641cabb13344f4263253aeb2; be_typo_user=c55269659d476b89431ec1504aa550fb
If-Modified-Since: Thu, 12 Jul 2007 13:06:50 GMT

HTTP/1.x 200 OK
Date: Thu, 12 Jul 2007 13:26:16 GMT
Server: Apache/1.3 (Unix) mod_ssl/2.8.28 OpenSSL/0.9.8d AuthPG/1.3 FrontPage/5.0.2.2635
Cache-Control: no-cache, must-revalidate
Content-Encoding: gzip
Expires: 0
Pragma: no-cache
X-Content-Encoded-By: class.gzip_encode 0.66
X-Powered-By: PHP/4.4.1
Last-Modified: Thu, 12 Jul 2007 13:26:16 GMT
Content-Length: 1487
Connection: close
Content-Type: text/html;charset=utf-8
----------------------------------------------------------
http://www.adomain.com/typo3conf/ext/naw_securedl/secure.php?u=gruenbaer&file=uploads/pics/eule-03_01.jpg&t=1184336776&hash=78e994cda580353bc190b8755b79f6cc

GET /typo3conf/ext/naw_securedl/secure.php?u=gruenbaer&file=uploads/pics/eule-03_01.jpg&t=1184336776&hash=78e994cda580353bc190b8755b79f6cc HTTP/1.1
Host: www.domain.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4
Accept: image/png,*/*;q=0.5
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://www.domain.com/
Cookie: fe_typo_user=b02b2eddb7; PHPSESSID=f488425d641cabb13344f4263253aeb2; be_typo_user=c55269659d476b89431ec1504aa550fb

HTTP/1.x 200 OK
Date: Thu, 12 Jul 2007 13:26:16 GMT
Server: Apache/1.3 (Unix) mod_ssl/2.8.28 OpenSSL/0.9.8d AuthPG/1.3 FrontPage/5.0.2.2635
content-disposition: inline; filename=eule-03_01.jpg
X-Powered-By: PHP/4.4.1
Connection: close
Transfer-Encoding: chunked
Content-Type: image/jpeg
----------------------------------------------------------

[mic_jan]

Hmmm... also der Http-Header ist ja okay.

Und ich habe gerade mal bei Ebay das gleiche Vorgehen getestet... also eingeloggt, dann mein Profil mit den persönlichen Daten angeguckt, ein paar Seiten angeklickt und dann ausgeloggt.

Und oh Wunder! Ich kann über den Zurückbutton alle Seiten noch einmal angucken. Nichts ändern, aber gucken.

Scheint also ein generelles Problem zu sein, wenn es denn eins ist.

Ob es bei SSL ähnlich ist, kann ich nicht sagen. Wenn die Daten aber höchst sensibel sind, dann solltest du bei df dann wohl ein Zertifkat ordern (afaik 150 EUR für ein Jahr) oder ein eigenes Einschicken (50 für den Einbau).

Aber dein Problem scheint keins zu sein, wenn es bei Ebay auch geht ;-)

Grüsse aus der Kölner Südstadt,

Michael

P.S.: Ich nehme an, dass wenn man den Browser schliesst und wieder öffnet, dann aber alles weg ist.