Anzeige der Bilder/Dateianhänge bei der Threaderstellung verbessern

    • Official Post

    Hallo,


    wenn der Code erst einmal geschrieben ist, dann fasst den so schnell keiner mehr an, solange kein akuter Bedarf besteht. Entsprechend haben wir zunächst einmal die striktere Variante gewählt, um ein größtmögliches Sicherheitsniveau zu gewährleisten und weil wir davon ausgegangen sind, dass der beschriebene Fall in der Praxis keine Rolle spielt.

  • Am wahrscheinlichsten halte ich die Verletzung des SameSite=strict. Ist es möglich, dass betroffene Benutzer während des Schreibens des Beitrags beispielsweise über Google recherchieren und dann über Umwege wieder in der Community landen?

    Aber wie soll das passieren, wenn man doch in einem Tab schon den Editor offen hat und dann scheinbar beim Absenden die Meldung erhält?

    Gruß aus Südhessen

  • Beispiel:

    In einem Tab habe ich den WSC-Editor in der letzten Stunde geladen/geöffnet, und ich recherchiere in einem anderen Tab, dann wechsle ich wieder in den Tab mit dem WSC-Editor, um dort zu schreiben und abzusenden.


    Wird dabei SameSite=strict verletzt?


    Das beschriebene Szenario wird von Benutzern zurück gemeldet.

    Gruß aus Südhessen

    • Official Post

    Hallo,

    Wird dabei SameSite=strict verletzt?

    Nein. Das Problem ist folgendes:

    1. Ich schreibe einen Beitrag in Tab (A).
    2. Ich öffne einen weiteren Tab (B) mit einer Suchmaschine meiner Wahl.
    3. Ich suche in (B) nach etwas und ein Suchergebnis ist die entsprechende Community.
    4. Ich klicke den Link in (B) an, dies ist ein Link von der Suchmaschine in die Community. Dieser Klick verletzt SameSite=strict.
    5. Tab (B) sieht ein fehlendes Cookie und setzt ein neues Cookie.
    6. Dieses Cookie ist natürlich auch für Tab (A) gesetzt.
    7. Ich sende das Formular in Tab (A) ab. Der im Formular gespeicherte Wert passt nicht mehr zu dem Wert im Cookie, da das Cookie in Schritt 5 überschrieben wurde.

    Im git haben wir die SameSite-Regel für das nächste 5.4.x-Update übrigens schon auf lax angepasst.