-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
как изолировать внешние POST запросы
- Автор темы ZETN1S
- Дата начала
Началось....
Конкурс, "кто сделает самое умное лицо".
ZETN1S
Для начала надо понять, что ВСЕ запросы к сайту - внешние.
"внутренних" - не бывает.
И CSRF токен от подделки на защищает.
Единственная защита - это при обработке любой формы предполагать, что она подделана.
И принимать соответсвующие меры
Конкурс, "кто сделает самое умное лицо".
ZETN1S
Для начала надо понять, что ВСЕ запросы к сайту - внешние.
"внутренних" - не бывает.
И CSRF токен от подделки на защищает.
Единственная защита - это при обработке любой формы предполагать, что она подделана.
И принимать соответсвующие меры
Вурдалак
Продвинутый новичок
Вурдалак
Продвинутый новичок
Фанат, это не так. Реферер, как правило, можно узнать без проблем (если только sid в URL не передаётся, но, я надеюсь, этого никто не делает). А вот узнать или, тем более, угадать token практически невозможно. На это и строится защита.
P.S. Кстати, подделка реферера к этой теме отношения-то не имеет. Пользователь специально подделывать реферер как раз не будет.
P.S. Кстати, подделка реферера к этой теме отношения-то не имеет. Пользователь специально подделывать реферер как раз не будет.
А вот тут ты неправ. Хотя Вурдалак и так уже всё сказал.
Дети.
вопрос топикстартера, если кто не заметил, содержит в себе взаимоисключающие параграфы.
если речь идет о CSRF и форме, размещенной на сайте, то, извините, ни подделка, ни, соответственно, "угадывание" (вот уж совершенно бессмысленная операция) сюда вообще никаким образом не относятся.
если же речь идет именно о подделке реферера, то токен подделывается точно так же, как и реферер.
защита токеном ничем принципиально от защиты реферером не отличается.
у реферера только реализация хромает.
Поэтому автору следует понимать, что помимо защиты критичных форм от CSRF, любые формы на сайте должны обрабатываться так, как будто они подделаны.
вопрос топикстартера, если кто не заметил, содержит в себе взаимоисключающие параграфы.
если речь идет о CSRF и форме, размещенной на сайте, то, извините, ни подделка, ни, соответственно, "угадывание" (вот уж совершенно бессмысленная операция) сюда вообще никаким образом не относятся.
если же речь идет именно о подделке реферера, то токен подделывается точно так же, как и реферер.
защита токеном ничем принципиально от защиты реферером не отличается.
у реферера только реализация хромает.
Поэтому автору следует понимать, что помимо защиты критичных форм от CSRF, любые формы на сайте должны обрабатываться так, как будто они подделаны.
Надо понимать, от чего мы защищаться хотим.
От CSRF прекрасно защитит внесение любого вариационного параметра в данные формы, меняющегося с каждым реквестом.
От парсера и curl-а не защитит ничего, кроме капчи.
От парсера, curl-а и вовлечения ручного труда (антикапчи) не защитит вообще ничего =)
От CSRF прекрасно защитит внесение любого вариационного параметра в данные формы, меняющегося с каждым реквестом.
От парсера и curl-а не защитит ничего, кроме капчи.
От парсера, curl-а и вовлечения ручного труда (антикапчи) не защитит вообще ничего =)
fixxxer например, на craigslist.org ввели pva (phone verified account) - подтверждение регистрации по городскому телефону из указанного при регистрации региона,
paypal при несовпадении страны по ip спрашивает часть номера банковского счета
это не защищает от фиктивной отправки формы, но очень усложняет достижение цели
paypal при несовпадении страны по ip спрашивает часть номера банковского счета
это не защищает от фиктивной отправки формы, но очень усложняет достижение цели
whirlwind
TDD infected, paranoid
maxmind tv проверенная штука, тока стоит денег. Вопрос сводится к анекдоту про неуловимого Джо.