Ponowne uwierzytelnianie i obrona przed CSRF

Ponowne uwierzytelnianie i obrona przed CSRF, aby użytkownicy tego nie odczuli

WebCM Zobacz profil	18.03.2012, 16:40:08 Post #1
Grupa: Zarejestrowani Postów: 375 Pomógł: 20 Dołączył: 28.07.2006 Ostrzeżenie: (0%)	Istnieją 2 metody zabezpieczeń przed CSRF, które chronią tylko częściowo: Sprawdzanie nagłówka Referer - niektórzy w trosce o prywatność go wyłączają Wysyłanie akcji metodą POST - wtedy nie zadziała metoda "na obrazek" Skuteczniejsze metody: Jednorazowy klucz w ukrytym polu formularza - musi się zgadzać z zapisanym na serwerze Potwierdzanie hasła - np. przy wejściu do panelu admina, ważnych zmianach Kody jednorazowe, SMS, telefon - to już krytyczny poziom zabezpieczeń Jakie jeszcze znacie skuteczne sposoby zabezpieczeń? Chcę zastosować takie zabezpieczenia, aby w jak najmniejszym stopniu utrudnić korzystanie z serwisu. Rozważmy jednorazowy klucz. Standardowa implementacja wygląda tak: [PHP] pobierz, plaintext if( wyslano_formularz ) { if( empty($_SESSION['authKey']) OR $_POST['authKey'] != $_SESSION['authKey'] ) { echo 'Wyślij formularz ponownie'; } } $_SESSION['authKey'] = uniqid(); [PHP] pobierz, plaintext Osoba pisze jednocześnie 2 posty. Kiedy wyśle drugi, zobaczy komunikat "Wyślij formularz ponownie". Przyczyna: w sesji zapisujemy klucz pod identyczną nazwą. Innym razem pisze długi post. Znowu do samo. Przyczyna: Sesja wygasa po 20 minutach (można zwiększyć, tylko niezalecane). Rozważmy ponowne logowanie przy wejściu do panelu admina. Redaktor pisze długi artykuł. Zapisuje. Niestety, sesja wygasła. Musi zalogować się ponownie. Artykuł znika. Zamiast sesji można wykorzystać ciasteczka. Dopóki nie zamknie przeglądarki, nie zostanie wylogowany. Jak nie popełnić błędu? Wystarczy zapisać md5(hasło + coś tam)? Jak projektować zabezpieczenia, aby nie utrudniać życia użytkownikom? Ten post edytował WebCM 18.03.2012, 16:41:44

Posty w temacie

WebCM Ponowne uwierzytelnianie i obrona przed CSRF 18.03.2012, 16:40:08

marcio Poprostu przed CSRF stosuj token i ewentualnie ses... 19.03.2012, 18:39:26

fr33d0m @marcio To rozwiązanie z hashem jest raczej średni... 19.03.2012, 23:45:53

marcio CytatTo rozwiązanie z hashem jest raczej średnie -... 20.03.2012, 00:52:19

fr33d0m @marcio Po pierwsze poprzez 'hash' rozumie... 20.03.2012, 16:03:05

marcio CytatPo pierwsze poprzez 'hash' rozumiem p... 20.03.2012, 17:28:12

fr33d0m Dla mnie hash to hash (czysty bez dodatków, który ... 20.03.2012, 19:17:41

marcio CytatDla mnie hash to hash (czysty bez dodatków, k... 20.03.2012, 19:42:44

fr33d0m Ja zawsze testuje swój kod na przeróżne zagrożenia... 20.03.2012, 20:13:38

em1X Nie trzeba niczego do bazy dodawać. Przy każdym ot... 23.03.2012, 12:50:05

Crozin CytatOsoba pisze jednocześnie 2 posty. Kiedy wyśle... 23.03.2012, 13:14:02

fr33d0m @Crozin Szczerze to nie zbyt kumam cały sens Twoje... 23.03.2012, 21:06:08

Crozin @fr33d0m: Nie, nie będzie mógł wysłać czegoś w imi... 23.03.2012, 21:46:19

WebCM CytatPrzed takim czymś (i innymi problemami - np. ... 23.03.2012, 23:46:47

marcio CytatPowstał temat bezpiecznego logowania. Załóżmy... 24.03.2012, 11:10:46

fr33d0m Cytat(Crozin @ 23.03.2012, 21:46:19 )... 25.03.2012, 00:33:16

Crozin @fr33d0m: Niby w jaki sposób zewnętrzny serwer mia... 25.03.2012, 01:13:49

marcio CytatA słabość MD5 polega na tym, że udało się opr... 25.03.2012, 01:17:45

fr33d0m Cytat@fr33d0m: Niby w jaki sposób zewnętrzny serwe... 25.03.2012, 01:36:57

Crozin @marcio: Każdy algorytm hashujący podatny jest na ... 25.03.2012, 13:04:04

fr33d0m CytatA słabość MD5 polega na tym, że udało się opr... 25.03.2012, 13:47:03

Crozin Cytat[PHP] pobierz, plaintext Serwer podantny na C... 25.03.2012, 14:13:37

« Następny starszy · PHP · Następny nowszy »

2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)

0 Zarejestrowanych:

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

Aktualny czas: 28.12.2025 - 15:55

Hosting zapewnia

Forum PHP.pl