Zum Hauptinhalt springen Skip to page footer

Nach upgrade auf TYPO3 10.4.33 - Frontend Login Probleme bei Verwendung ohne Extbase

Beim Update auf TYPO3 10.4.33 funktioniert der Frontend-Login bei Verwendung ohne Extbase nicht mehr. Hier stelle ich eine Lösung vor (upgrade) die die möglichen Konfigurationsoptionen; auf weitere Empfehlungen um für zukünftige Upgrades gewappnet zu sein gehe ich zusätzlich ein.

Wird beim Update von TYPO3 10.4.32 auf Version 10.4.33 (Sicherheitsupdate) noch der Frontend-Login ohne Extbase verwendet, ist ein Login der Webseitenbesucher nicht mehr möglich, da die Übergabe des Storage-Folders verändert wurde.

Kurz nach dem Erscheinen von TYPO3 10.4.33 wurde die Version 10.4.34 veröffentlicht, welche eine bessere Rückwärtskompatibilität enthält und eine zusätzliche Konfigurationen ermöglicht.

Einer dieser Patches enthält folgende Information:

==================================================================================
Important: #99366 - Add backward compatibility handling for frontend login signing
==================================================================================

See :issue:`99366`

Description
===========

The security fix for `https://typo3.org/security/advisory/typo3-core-sa-2022-013 <TYPO3-CORE-SA-2022-013>`_
enforced the `pid` HTTP parameter to be signed via HMAC during the frontend user authentication process.

It occurred that custom authentication services suffered from this strict requirements. To provide better
backward compatibility for those individual scenarios, the new `security.frontend.enforceLoginSigning`
feature flag has been introduced, which is enabled per default, but can be disabled individually.

.. code-block: php

    // disable signing the `pid` parameter for backward compatibility
    $GLOBALS['TYPO3_CONF_VARS']['SYS']['features']['security.frontend.enforceLoginSigning'] = false;

.. index:: Frontend, ext:felogin

Dies bedeutet, dass über die globalen Einstellungen bspw. in der LocalConfiguration.php oder in der AdditionalConfiguration.php nun eine Option deaktiviert werden kann, die grundsätzlich die Sicherheit des Frontend Login verbessern soll. Mit

$GLOBALS['TYPO3_CONF_VARS']['SYS']['features']['security.frontend.enforceLoginSigning'] = false;

deaktiviert man nun diese Einstellung und die Verwendung des Frontend-Login mit anderen Plugins oder ohne Extbase ist nun wieder möglich.

Wichtig: Grundsätzlich rate ich dazu, den Frontend-Login auf Extbase zu migrieren, da ab TYPO3 11.5 nur noch dieser ohne Umwege genutzt werden kann und die Core-Funktionalitäten vollständig genutzt werden. Diese Einstellung kann in den Verwaltungswerkzeugen unter Einstellungen/Feature Toggles bereits in TYPO3 10.4 vorgenommen werden.