![]() |
![]() |
![]() ![]()
Post
#1
|
|
Grupa: Zarejestrowani Postów: 375 Pomógł: 20 Dołączył: 28.07.2006 Ostrzeżenie: (0%) ![]() ![]() |
Istnieją 2 metody zabezpieczeń przed CSRF, które chronią tylko częściowo:
Skuteczniejsze metody:
Jakie jeszcze znacie skuteczne sposoby zabezpieczeń? Chcę zastosować takie zabezpieczenia, aby w jak najmniejszym stopniu utrudnić korzystanie z serwisu. Rozważmy jednorazowy klucz. Standardowa implementacja wygląda tak:
Osoba pisze jednocześnie 2 posty. Kiedy wyśle drugi, zobaczy komunikat "Wyślij formularz ponownie". Przyczyna: w sesji zapisujemy klucz pod identyczną nazwą. Innym razem pisze długi post. Znowu do samo. Przyczyna: Sesja wygasa po 20 minutach (można zwiększyć, tylko niezalecane). Rozważmy ponowne logowanie przy wejściu do panelu admina. Redaktor pisze długi artykuł. Zapisuje. Niestety, sesja wygasła. Musi zalogować się ponownie. Artykuł znika. Zamiast sesji można wykorzystać ciasteczka. Dopóki nie zamknie przeglądarki, nie zostanie wylogowany. Jak nie popełnić błędu? Wystarczy zapisać md5(hasło + coś tam)? Jak projektować zabezpieczenia, aby nie utrudniać życia użytkownikom? Ten post edytował WebCM 18.03.2012, 16:41:44 |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 6 476 Pomógł: 1306 Dołączył: 6.08.2006 Skąd: Kraków Ostrzeżenie: (0%) ![]() ![]() |
@marcio: Każdy algorytm hashujący podatny jest na atak przy użyciu tablic teńczowych, a stosowanie soli jako takiej jest podstawą znaną od początków korzystania z funkcji hashujących, więc może darujemy sobie takie banały.
Cytat A no da się. Nie podam przykładu bo jest to zależne od konstrukcji danego portalu. W taki sposób powstają wredne robaki, które wysyłają za nas spreparowane wiadomości... NK jest podatna, więc jeśli jesteś ciekawy to możesz potrenować. Byłbym jednak bardzo wdzięczny za podanie przykładu, bo wg tego co piszesz każdy portal byłby wstanie włamać się na różne moje konta (pocztę, bank, fora itd.) o ile mają odpowiednio złą (tj. jaką?) konstrukcję.Cytat Odnośnie MD5, to nie doszli by do tego, gdyby właśnie nie było to tak popularne i moim zdaniem popularność ma bardzo wiele do rzeczy - chociażby dlatego, że lepiej spędzić miesiąc nad przełamaniem schematu czegoś, co jest częściej stosowane niż spędzić miesiąc co jest stosowane sporadycznie na portalach z minimalną statystyką. To czym się kierowali ludzie nie jest teraz istotne, istotne jest to że opracowali algorytm łamiący podstawową właściowość MD5 - jednokierunkowość. Z SHA1 jest zresztą dosyć podobnie.
|
|
|
![]() ![]() |
![]() |
Aktualny czas: 14.10.2025 - 07:44 |