Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Ponowne uwierzytelnianie i obrona przed CSRF, aby użytkownicy tego nie odczuli
WebCM
post
Post #1





Grupa: Zarejestrowani
Postów: 375
Pomógł: 20
Dołączył: 28.07.2006

Ostrzeżenie: (0%)
-----

Istnieją 2 metody zabezpieczeń przed CSRF, które chronią tylko częściowo:
  1. Sprawdzanie nagłówka Referer - niektórzy w trosce o prywatność go wyłączają
  2. Wysyłanie akcji metodą POST - wtedy nie zadziała metoda "na obrazek"

Skuteczniejsze metody:
  1. Jednorazowy klucz w ukrytym polu formularza - musi się zgadzać z zapisanym na serwerze
  2. Potwierdzanie hasła - np. przy wejściu do panelu admina, ważnych zmianach
  3. Kody jednorazowe, SMS, telefon - to już krytyczny poziom zabezpieczeń

Jakie jeszcze znacie skuteczne sposoby zabezpieczeń?

Chcę zastosować takie zabezpieczenia, aby w jak najmniejszym stopniu utrudnić korzystanie z serwisu. Rozważmy jednorazowy klucz. Standardowa implementacja wygląda tak:
[PHP] pobierz, plaintext 
  1. if( wyslano_formularz )
  2. {
  3.   if( empty($_SESSION['authKey']) OR $_POST['authKey'] != $_SESSION['authKey'] )
  4.   {
  5.     echo 'Wyślij formularz ponownie';
  6.   }
  7. }
  8.  
  9. $_SESSION['authKey'] = uniqid();
[PHP] pobierz, plaintext

Osoba pisze jednocześnie 2 posty. Kiedy wyśle drugi, zobaczy komunikat "Wyślij formularz ponownie". Przyczyna: w sesji zapisujemy klucz pod identyczną nazwą. Innym razem pisze długi post. Znowu do samo. Przyczyna: Sesja wygasa po 20 minutach (można zwiększyć, tylko niezalecane).

Rozważmy ponowne logowanie przy wejściu do panelu admina. Redaktor pisze długi artykuł. Zapisuje. Niestety, sesja wygasła. Musi zalogować się ponownie. Artykuł znika. Zamiast sesji można wykorzystać ciasteczka. Dopóki nie zamknie przeglądarki, nie zostanie wylogowany. Jak nie popełnić błędu? Wystarczy zapisać md5(hasło + coś tam)?

Jak projektować zabezpieczenia, aby nie utrudniać życia użytkownikom?

Ten post edytował WebCM 18.03.2012, 16:41:44
Go to the top of the page
+Quote Post
 
 Start new topic
Odpowiedzi
marcio
post
Post #2





Grupa: Zarejestrowani
Postów: 2 291
Pomógł: 156
Dołączył: 23.09.2007
Skąd: ITALY-MILAN

Ostrzeżenie: (10%)
X----

Cytat
Dla mnie hash to hash (czysty bez dodatków, który przy ataku idzie jako drugi w kolejności). Gdybyś na początku zarzucił takim kodem to chyba oczywiste, że nie miał bym się o co czepiać.

To sie nie zrozumielismy (IMG:style_emoticons/default/wink.gif)

Cytat
Jednak sprawdzanie przy każdym formularzu takiego hashu w bazie przy kilku tysiącach użytkowników JEST wciąż BARDZO zasobożerne w porównaniu do prostego jednokrotnego generowania keya na sesje... nawet więcej niż zasobożerne - jest to bardzo nie wydajne rozwiązanie.

Hash sprawdzam tylko wtedy gdy sa odpalane jakies wazne akcje w systemie np zarzadzanie wpisami,panel admina czy usuwanie komentarzy, poprostu frontcontroller PA sprawdza przy jego odpaleniu hash, reszta frontcontrollerow i komponentow uwierzytelnia uzytkownika na podstawie ACL'a.

Cytat
Zakładając, że na stronie będzie sqlinfect i xss to oba sposoby są na tym samym poziomie bezpieczeństwa przed CSRF z różnicą wydajności. Dla uprzedzenia Twojej wypowiedzi dodam, że sqlinfecty są tak samo popularne jak xssy.

Wiec jak zawsze trzeba "zakladac" jak najmniej i testowac wlasne strony ;p
Go to the top of the page
+Quote Post

Posty w temacie
- WebCM   Ponowne uwierzytelnianie i obrona przed CSRF   18.03.2012, 16:40:08
- - marcio   Poprostu przed CSRF stosuj token i ewentualnie ses...   19.03.2012, 18:39:26
- - fr33d0m   @marcio To rozwiązanie z hashem jest raczej średni...   19.03.2012, 23:45:53
- - marcio   CytatTo rozwiązanie z hashem jest raczej średnie -...   20.03.2012, 00:52:19
- - fr33d0m   @marcio Po pierwsze poprzez 'hash' rozumie...   20.03.2012, 16:03:05
- - marcio   CytatPo pierwsze poprzez 'hash' rozumiem p...   20.03.2012, 17:28:12
- - fr33d0m   Dla mnie hash to hash (czysty bez dodatków, który ...   20.03.2012, 19:17:41
- - marcio   CytatDla mnie hash to hash (czysty bez dodatków, k...   20.03.2012, 19:42:44
- - fr33d0m   Ja zawsze testuje swój kod na przeróżne zagrożenia...   20.03.2012, 20:13:38
- - em1X   Nie trzeba niczego do bazy dodawać. Przy każdym ot...   23.03.2012, 12:50:05
- - Crozin   CytatOsoba pisze jednocześnie 2 posty. Kiedy wyśle...   23.03.2012, 13:14:02
- - fr33d0m   @Crozin Szczerze to nie zbyt kumam cały sens Twoje...   23.03.2012, 21:06:08
- - Crozin   @fr33d0m: Nie, nie będzie mógł wysłać czegoś w imi...   23.03.2012, 21:46:19
- - WebCM   CytatPrzed takim czymś (i innymi problemami - np. ...   23.03.2012, 23:46:47
- - marcio   CytatPowstał temat bezpiecznego logowania. Załóżmy...   24.03.2012, 11:10:46
- - fr33d0m   Cytat(Crozin @ 23.03.2012, 21:46:19 )...   25.03.2012, 00:33:16
- - Crozin   @fr33d0m: Niby w jaki sposób zewnętrzny serwer mia...   25.03.2012, 01:13:49
- - marcio   CytatA słabość MD5 polega na tym, że udało się opr...   25.03.2012, 01:17:45
- - fr33d0m   Cytat@fr33d0m: Niby w jaki sposób zewnętrzny serwe...   25.03.2012, 01:36:57
- - Crozin   @marcio: Każdy algorytm hashujący podatny jest na ...   25.03.2012, 13:04:04
- - fr33d0m   CytatA słabość MD5 polega na tym, że udało się opr...   25.03.2012, 13:47:03
- - Crozin   Cytat[PHP] pobierz, plaintext Serwer podantny na C...   25.03.2012, 14:13:37

« Następny starszy · PHP · Następny nowszy »
 

Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 

Tryb wyświetlania: Przełącz na: Standardowy · Przełącz na: Linearny+ · Drzewo

Śledź ten temat · Wyślij temat na e-mail · Wydrukuj ten temat · Subskrybuj to forum

RSS Aktualny czas: 8.10.2025 - 22:14
Powered By IP.Board © 2025  IPS, Inc.
All changes by PHP.pl Administrators
Hosting zapewnia NQ.pl hosting, trac, svn