Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Ponowne uwierzytelnianie i obrona przed CSRF, aby użytkownicy tego nie odczuli
WebCM
post
Post #1





Grupa: Zarejestrowani
Postów: 375
Pomógł: 20
Dołączył: 28.07.2006

Ostrzeżenie: (0%)
-----

Istnieją 2 metody zabezpieczeń przed CSRF, które chronią tylko częściowo:
  1. Sprawdzanie nagłówka Referer - niektórzy w trosce o prywatność go wyłączają
  2. Wysyłanie akcji metodą POST - wtedy nie zadziała metoda "na obrazek"

Skuteczniejsze metody:
  1. Jednorazowy klucz w ukrytym polu formularza - musi się zgadzać z zapisanym na serwerze
  2. Potwierdzanie hasła - np. przy wejściu do panelu admina, ważnych zmianach
  3. Kody jednorazowe, SMS, telefon - to już krytyczny poziom zabezpieczeń

Jakie jeszcze znacie skuteczne sposoby zabezpieczeń?

Chcę zastosować takie zabezpieczenia, aby w jak najmniejszym stopniu utrudnić korzystanie z serwisu. Rozważmy jednorazowy klucz. Standardowa implementacja wygląda tak:
[PHP] pobierz, plaintext 
  1. if( wyslano_formularz )
  2. {
  3.   if( empty($_SESSION['authKey']) OR $_POST['authKey'] != $_SESSION['authKey'] )
  4.   {
  5.     echo 'Wyślij formularz ponownie';
  6.   }
  7. }
  8.  
  9. $_SESSION['authKey'] = uniqid();
[PHP] pobierz, plaintext

Osoba pisze jednocześnie 2 posty. Kiedy wyśle drugi, zobaczy komunikat "Wyślij formularz ponownie". Przyczyna: w sesji zapisujemy klucz pod identyczną nazwą. Innym razem pisze długi post. Znowu do samo. Przyczyna: Sesja wygasa po 20 minutach (można zwiększyć, tylko niezalecane).

Rozważmy ponowne logowanie przy wejściu do panelu admina. Redaktor pisze długi artykuł. Zapisuje. Niestety, sesja wygasła. Musi zalogować się ponownie. Artykuł znika. Zamiast sesji można wykorzystać ciasteczka. Dopóki nie zamknie przeglądarki, nie zostanie wylogowany. Jak nie popełnić błędu? Wystarczy zapisać md5(hasło + coś tam)?

Jak projektować zabezpieczenia, aby nie utrudniać życia użytkownikom?

Ten post edytował WebCM 18.03.2012, 16:41:44
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
fr33d0m
post
Post #2





Grupa: Zarejestrowani
Postów: 132
Pomógł: 4
Dołączył: 22.10.2010

Ostrzeżenie: (0%)
-----

@marcio
Po pierwsze poprzez 'hash' rozumiem przepuszczony przez np. md5 nazwę usera/agenta/ip/etc - to tak dla jasności dyskusji.
Poznać jest go bardzo łatwo, wystarczy po testować na samym sobie i wierz mi, że nawet nie zbyt uparty napastnik do tego dojdzie, bo nie jest to skomplikowany pomysł obrony. Dla jasności w tej kwestii bardzo łatwo poznać usera,browser,ip wystarczy umiejętnie wykorzystać XSS'a na danym portalu. (nie powinno się zakładać, że takiego nie będzie). To co mnie jeszcze irytuje, to że jak sam napisałeś hash jest jeden na zawsze przypisany do danego konta - jeśli pozna się mechanizm tworzenia hasha to cały portal leży otworem dla CSRF. Przy generowaniu klucza jednorazowo tego problemu nie ma, a nawet więcej... napastnik przy sqlinfect(który przecież też może wystąpić) nie jest wstanie poznać autkeya.
Go to the top of the page
+Quote Post

Posty w temacie
- WebCM   Ponowne uwierzytelnianie i obrona przed CSRF   18.03.2012, 16:40:08
- - marcio   Poprostu przed CSRF stosuj token i ewentualnie ses...   19.03.2012, 18:39:26
- - fr33d0m   @marcio To rozwiązanie z hashem jest raczej średni...   19.03.2012, 23:45:53
- - marcio   CytatTo rozwiązanie z hashem jest raczej średnie -...   20.03.2012, 00:52:19
- - fr33d0m   @marcio Po pierwsze poprzez 'hash' rozumie...   20.03.2012, 16:03:05
- - marcio   CytatPo pierwsze poprzez 'hash' rozumiem p...   20.03.2012, 17:28:12
- - fr33d0m   Dla mnie hash to hash (czysty bez dodatków, który ...   20.03.2012, 19:17:41
- - marcio   CytatDla mnie hash to hash (czysty bez dodatków, k...   20.03.2012, 19:42:44
- - fr33d0m   Ja zawsze testuje swój kod na przeróżne zagrożenia...   20.03.2012, 20:13:38
- - em1X   Nie trzeba niczego do bazy dodawać. Przy każdym ot...   23.03.2012, 12:50:05
- - Crozin   CytatOsoba pisze jednocześnie 2 posty. Kiedy wyśle...   23.03.2012, 13:14:02
- - fr33d0m   @Crozin Szczerze to nie zbyt kumam cały sens Twoje...   23.03.2012, 21:06:08
- - Crozin   @fr33d0m: Nie, nie będzie mógł wysłać czegoś w imi...   23.03.2012, 21:46:19
- - WebCM   CytatPrzed takim czymś (i innymi problemami - np. ...   23.03.2012, 23:46:47
- - marcio   CytatPowstał temat bezpiecznego logowania. Załóżmy...   24.03.2012, 11:10:46
- - fr33d0m   Cytat(Crozin @ 23.03.2012, 21:46:19 )...   25.03.2012, 00:33:16
- - Crozin   @fr33d0m: Niby w jaki sposób zewnętrzny serwer mia...   25.03.2012, 01:13:49
- - marcio   CytatA słabość MD5 polega na tym, że udało się opr...   25.03.2012, 01:17:45
- - fr33d0m   Cytat@fr33d0m: Niby w jaki sposób zewnętrzny serwe...   25.03.2012, 01:36:57
- - Crozin   @marcio: Każdy algorytm hashujący podatny jest na ...   25.03.2012, 13:04:04
- - fr33d0m   CytatA słabość MD5 polega na tym, że udało się opr...   25.03.2012, 13:47:03
- - Crozin   Cytat[PHP] pobierz, plaintext Serwer podantny na C...   25.03.2012, 14:13:37

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 10.10.2025 - 02:14
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn