CSRF-Schutz: müssen wir erzeugen ein token für jede form?

Haben wir zum generieren eines token, der für jedes Formular in eine website? Ich meine, jeder-Zeit zu generieren, die verschiedene token für jeden gewünschten form? Wenn nicht, warum?

Das sieht aus wie eine Frage für security.stackexchange.com

InformationsquelleAutor Centurion | 2011-12-28

  1. 33

    Im Allgemeinen genügt es, nur ein token pro session, eine so genannte pro-Sitzungs-token:

    Im Allgemeinen müssen Entwickler nur generieren diese Tokens einmal für die aktuelle Sitzung. Nach der ersten generation des token, der Wert wird in der session gespeichert und verwertet wird, für jede nachfolgende Anforderung, bis die Sitzung abläuft.

    Wenn Sie möchten, dass zur weiteren Verbesserung der Sicherheit, können Sie ein token pro Formular/einen URL (pro-form-token) zur Milderung der Auswirkungen, wenn ein token Lecks (e. g. XSS ), da ein Angreifer nur in der Lage sein, erfolgreich anzugreifen, dass bestimmte Formular/einen URL.

    Aber mit pro-Anfrage-Token, ich. e. Token, die ändern sich mit jedem request, sondern schneidet die usability der website, denn es schränkt parallel durchsuchen:

    Zur weiteren Verbesserung der Sicherheit der vorgeschlagenen design, betrachten Zufall das CSRF-token [...] für jede Anforderung. Die Umsetzung dieses Ansatzes ergibt sich in der Generierung von pro-Anfrage-Token, im Gegensatz zu Sitzungs-Token. Beachten Sie jedoch, dass hierdurch kann die usability betrifft. Zum Beispiel den "Zurück" - Taste browser-Fähigkeit ist oft behindert wie auf der vorigen Seite enthält möglicherweise ein token ist nicht mehr gültig. Die Interaktion mit diesem vorherigen Seite wird in einem CSRF-false-positive-security-event auf dem server.

    Also ich empfehle dir, entweder eine pro-session-tokens oder pro-form-Token.

    Ich denke, dass pro Formular-Token würde funktionieren, wenn: a) erstellen Sie nur die token der Benutzer beim ersten lädt der form, nachfolgende Formular geladen wird, sollte wieder die ersten token für das Formular. b) Beim speichern der token in der session sollte es eine Kennzeichnung für die jeweilige Seite/form. E. g. SESSION['edit-user-csrf'] und SESSION['edit-order-csrf'] und auf diese Weise können Sie öffnen, eine andere Seite in einer anderen Registerkarte und die beiden Formen können noch eingereicht werden erfolgreich, wie die session speichert sowohl Token (eine für jede form). Die Seite kennt, die csrf-token zu überprüfen und zu benutzen, weil es auf dieser Seite.
    Stellen Sie sicher, dass der Inaktivität und der Absoluten session-Zeiten, die erneute Authentifizierung und neue token-generation. (Beispiel: 20 Minuten Inaktivität oder 4 Stunden absolut)
    Die form der URL kann verwendet werden, zu identifizieren, die form. Wenn das nicht genügt, können Sie hinzufügen, andere identifizierende Informationen (e. g. versteckte input-Werte) oder, noch besser, verwenden Sie ein form-container zum speichern der versteckten input-Werte in , wird auch spoofing zu verhindern versteckten input-Werte.
    Das ist nicht notwendig. Sollten Sie einen Algorithmus, generiert Token mit ausreichend Entropie, die machen das erraten einer gültigen token nicht undurchführbar. Regenerieren Sie das token wird nur ärgern den Benutzer.
    Wenn Sie mit der richtigen XSS kann man in der Regel Leck token in der Website - Sie können AJAX/iframe GET-Aufruf in XSS zu Formular-Seite und veröffentlichen Sie das Formular mit Ihren soll-Werten.

    InformationsquelleAutor Gumbo

  2. 11

    Nein, Sie müssen nur generieren Sie einen token auf einer pro-Sitzung-basis.

    Token sehr unwahrscheinlich sind, zugespielt werden, die versehentlich durch Benutzer und generiert ein token pro form macht die Dinge sehr kompliziert, wenn ein Benutzer die Seite besucht, in zwei verschiedenen tabs/Fenstern gleichzeitig.

    Danke. So, die token noch platziert werden in jeder form (aber nur die pro-Sitzungs-token nicht anders)?
    Ja, das ist richtig.

    InformationsquelleAutor Quentin

Schreibe einen Kommentar