/
ALLOWEDREFERERS - Detailbeschreibung

ALLOWEDREFERERS - Detailbeschreibung

Facility Management Header.png

Überblick

Parameter:ALLOWEDREFERERS
Kategorie: Custom (Benutzerdefiniert)
Standardwert: "" (leer)
Produkt: eTASK.Sonstige (Custom)

Was macht dieser Parameter?

Dieser Parameter definiert eine Liste vertrauenswürdiger Domains, von denen das Portal Anfragen akzeptiert, wenn der CSRF-Schutz (ANTICROSSSITEREQUESTFORGERY) aktiviert ist. Wenn Benutzer über externe Authentifizierungsdienste wie Microsoft Azure Active Directory angemeldet werden, müssen diese Dienste in dieser Whitelist eingetragen sein. Andernfalls würde das Portal die Rückkehr vom Login-Dienst als potenziellen Angriff blockieren.

Wofür wird dieser Parameter verwendet?

  • Definition vertrauenswürdiger externer Domains für den CSRF-Schutz

  • Erlaubnis von Weiterleitungen von externen Authentifizierungsdiensten (z.B. Azure AD, OAuth-Provider)

  • Whitelisting von Partner-Portalen oder integrierten Diensten

  • Vermeidung falscher Blockierungen legitimer Anfragen beim aktivierten CSRF-Schutz

  • Konfiguration von Single Sign-On (SSO) Integrationen mit externen Identity-Providern

Technische Details (für Administratoren)

Format: Kommagetrennte oder semikolongetrennte Liste von URLs
Standardwert: "" (leer)

Gültige Werte:

  • "" = Leer (keine externen Referer erlaubt)

  • https://login.microsoftonline.com = Einzelne Domain (Microsoft Azure AD)

  • https://login.microsoftonline.com,https://partner.example.com = Mehrere Domains (kommagetrennt)

  • https://login.microsoftonline.com;https://partner.example.com = Mehrere Domains (semikolongetrennt)

Wichtige Hinweise:

  • Die Domains müssen vollständig mit Protokoll angegeben werden (z.B. https://login.microsoftonline.com)

  • Mehrere Domains können durch Komma oder Semikolon getrennt werden

  • Leerzeichen vor und nach den Einträgen werden automatisch entfernt

  • Der Parameter wird nur ausgewertet, wenn ANTICROSSSITEREQUESTFORGERY auf 1 (aktiviert) gesetzt ist

  • Das System vergleicht nur die Domain (Authority), nicht den vollständigen Pfad

  • Groß-/Kleinschreibung wird nicht beachtet (case-insensitive)

Zusammenspiel mit anderen Parametern:

Dieser Parameter ist eng mit ANTICROSSSITEREQUESTFORGERY verbunden. Ohne aktivierten CSRF-Schutz hat dieser Parameter keine Wirkung. Bei aktiviertem CSRF-Schutz ist er zwingend erforderlich, wenn externe Authentifizierungsdienste verwendet werden.

Wann sollten Sie diesen Wert ändern?

Wert konfigurieren (Domains eintragen), wenn:

  • Sie Azure Active Directory oder andere externe Authentifizierungsdienste verwenden

  • ANTICROSSSITEREQUESTFORGERY aktiviert ist und externe Logins nicht funktionieren

  • Sie SSO-Integrationen mit Partner-Systemen nutzen

  • Das Portal mit externen OAuth- oder SAML-Providern integriert ist

  • Benutzer nach dem Login von externen Diensten auf Fehlerseiten landen

Wert leer belassen, wenn:

  • ANTICROSSSITEREQUESTFORGERY deaktiviert ist (Wert 0)

  • Nur lokale Authentifizierung (Benutzername/Passwort) ohne externe Dienste verwendet wird

  • Keine Integrationen mit externen Systemen bestehen

  • Das Portal ausschließlich intern ohne externe Weiterleitungen betrieben wird

Wichtige Hinweise

  1. Nur vertrauenswürdige Domains eintragen
    Tragen Sie nur Domains ein, denen Sie vollständig vertrauen. Jede eingetragene Domain kann Anfragen an Ihr Portal senden, die vom CSRF-Schutz akzeptiert werden.

  2. Vollständige URLs mit Protokoll
    Verwenden Sie immer vollständige URLs inklusive Protokoll (https:// oder http://). Unvollständige Einträge wie "login.microsoftonline.com" werden nicht erkannt.

  3. Test nach Änderungen
    Testen Sie nach jeder Änderung den kompletten Login-Prozess mit allen verwendeten Authentifizierungsmethoden, um sicherzustellen, dass keine legitimen Anfragen blockiert werden.

  4. Regelmäßige Überprüfung
    Überprüfen Sie regelmäßig, ob alle eingetragenen Domains noch benötigt werden. Entfernen Sie veraltete Einträge, um die Sicherheit zu erhöhen.

Sicherheit

Hat eine Änderung dieses Parameters Auswirkungen auf die Sicherheit?

Ja, dieser Parameter hat wichtige Sicherheitsauswirkungen, da er definiert, welche externen Domains Zugriff auf Ihr Portal erhalten.

 

Positive Aspekte:

  • Ermöglicht sichere Integration externer Authentifizierungsdienste

  • Reduziert Angriffsfläche durch explizite Whitelist-Strategie

  • Verhindert unbefugte Weiterleitungen von unbekannten Domains

  • Unterstützt Compliance-Anforderungen durch dokumentierte Vertrauensbeziehungen

  • Kombiniert mit CSRF-Schutz für mehrschichtige Sicherheit

Zu beachten:

  • Jede eingetragene Domain wird als vertrauenswürdig behandelt

  • Kompromittierte eingetragene Domains können das Portal gefährden

  • Zu großzügige Whitelist schwächt den CSRF-Schutz

  • Falsch konfigurierte Einträge können legitime Logins blockieren

  • Wildcards oder Muster werden nicht unterstützt - jede Domain muss explizit eingetragen werden

Datenschutzrechtliche Bewertung: - Externe Authentifizierungsdienste verarbeiten Anmeldedaten - prüfen Sie Datenschutzvereinbarungen - Dokumentieren Sie die eingetragenen Domains für Datenschutz-Audits - Informieren Sie Benutzer über verwendete externe Login-Dienste

Empfehlung: Tragen Sie nur absolut notwendige Domains ein. Verwenden Sie ausschließlich vertrauenswürdige, etablierte Authentifizierungsdienste. Dokumentieren Sie jede eingetragene Domain mit Begründung und prüfen Sie regelmäßig, ob alle Einträge noch erforderlich sind.

Praktisches Beispiel

Ausgangssituation: Sie haben ANTICROSSSITEREQUESTFORGERY aktiviert und verwenden Azure Active Directory für die Benutzeranmeldung. Nach dem Login bei Microsoft werden Benutzer blockiert und erhalten eine Fehlermeldung, da das Portal die Weiterleitung von login.microsoftonline.com als potentiellen CSRF-Angriff interpretiert.

Konfiguration: ALLOWEDREFERERS = https://login.microsoftonline.com

Nach der Änderung:

  • Benutzer klicken auf "Mit Microsoft anmelden"

  • Das Portal leitet zu login.microsoftonline.com weiter

  • Benutzer melden sich bei Microsoft an

  • Microsoft leitet zurück zum Portal

  • Das Portal prüft den Referer-Header und findet login.microsoftonline.com

  • Die Domain ist in ALLOWEDREFERERS eingetragen

  • Die Anfrage wird akzeptiert und der Benutzer erfolgreich angemeldet

Ergebnis: Der Azure-Login funktioniert einwandfrei, während gleichzeitig der CSRF-Schutz für alle anderen Anfragen aktiv bleibt. Angriffe von nicht eingetragenen Domains werden weiterhin blockiert.

Alternative Szenarien:

Szenario A - Mehrere Authentifizierungsdienste:

  • ALLOWEDREFERERS = https://login.microsoftonline.com,https://accounts.google.com

  • Unterstützung für Microsoft und Google Login

  • Beide Dienste können sicher Anfragen zurück zum Portal senden

Szenario B - Partner-Portal-Integration:

  • ALLOWEDREFERERS = https://login.microsoftonline.com,https://partner.example.com

  • Azure-Login und Integration mit Partner-System

  • Beide Systeme können Benutzer zum Portal weiterleiten

Empfohlene Einstellung

Für Standard-Installationen:Abhängig von den verwendeten Diensten

Begründung:

  • Der Wert muss an die tatsächlich verwendeten externen Dienste angepasst werden

  • Keine universelle Standardkonfiguration möglich

  • Nur notwendige Domains eintragen (Prinzip der minimalen Berechtigung)

  • Regelmäßige Überprüfung und Aktualisierung erforderlich

Typische Konfigurationen:

  • Nur Azure AD:https://login.microsoftonline.com

  • Azure AD + Google:https://login.microsoftonline.com,https://accounts.google.com

  • Keine externen Dienste:"" (leer)

  • Azure AD + Partner-Portal:https://login.microsoftonline.com,https://partner.domain.com

Tipp: Dokumentieren Sie jede eingetragene Domain in einer Konfigurationsdokumentation mit den folgenden Informationen: - Domain-URL - Zweck/Verwendung (z.B. "Azure AD Login") - Verantwortliche Person/Team - Datum der Eintragung - Datum der letzten Überprüfung

Überprüfen Sie die Liste mindestens einmal jährlich und entfernen Sie nicht mehr benötigte Einträge.

 

IC2862