-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
подлинность POST и GET
- Автор темы mark.moskalenko
- Дата начала
В виде скрытого поля формы.
Redjik
Джедай-мастер
Absinthe
http://www.yiiframework.com/doc/guide/1.1/en/topics.security
ну да - тот же принцип, но как изящно подключать это дело одной строчкой =)
http://www.yiiframework.com/doc/guide/1.1/en/topics.security
ну да - тот же принцип, но как изящно подключать это дело одной строчкой =)
Absinthe
жожо
Redjik уже успел прочитать по ссылке. Это самый очевидный и повсеместно применяемый вариант.
У меня назрел глупый вопрос: если я контролирую referer в POST-запросах, и разрешаю его только в вайтлистах на определенные действия (оплата paypal и прочие callback'и), как может быть проведена CSRF-атака?
У меня назрел глупый вопрос: если я контролирую referer в POST-запросах, и разрешаю его только в вайтлистах на определенные действия (оплата paypal и прочие callback'и), как может быть проведена CSRF-атака?
Absinthe
жожо
Прочитал http://www.adambarth.com/papers/2008/barth-jackson-mitchell-b.pdf пункт 4.2, там говорится, что реферерная защита отлично справляется с CSRF, и не нужны никакие токены; подтвердились мои идеи.
Минусов не заметил (может быть какие-то самопальные неполноценные боты не пройдут, так как не знают, что такое реферер, но это скорее даже плюс)
Минусов не заметил (может быть какие-то самопальные неполноценные боты не пройдут, так как не знают, что такое реферер, но это скорее даже плюс)
Absinthe
Защиту по рефу надо реализовывать правильно: если parse_url не справился с парсингом, значит, надо разрешать. Иначе зарежешь пользователей фаерволов, которые режут реферер. В качестве примера см. "blocked" в http://nginx.org/ru/docs/http/ngx_http_referer_module.html.
Защиту по рефу надо реализовывать правильно: если parse_url не справился с парсингом, значит, надо разрешать. Иначе зарежешь пользователей фаерволов, которые режут реферер. В качестве примера см. "blocked" в http://nginx.org/ru/docs/http/ngx_http_referer_module.html.
Вы похоже плотно не работали с ajax-запросами, в плане полной кроссбраузерности.
А если конкретнее то старые версии IE и Оперы (у IE вообще можно было подменять реферер). Да сейчас это значительно менее актуально, но все-же. К тому же у той же оперы есть настройка не передавать реферер и в некторых сборках она включена по умолчанию. Подмену реферера можно сделать и со старыми версиями флеша.
Да и вообще погуглив насчет "Referrer spoofing" можно узнать много интересного и по идее должно пропасть желание использовать проверку реферера, в качестве надежного средства
Я говорил о сборках оперы, а не об официальных инсталлах. В сборках настройки по умолчанию могут ой как отличаться. А в опере передача реферера - это настройка.
Я хотел сказать что передача рефера может не работать (прокси, кривой браузер или и то и другое вместе), а если не будет работать то не будет работать и функционал сайта, т.к. никак валидность проверить нельзя раз нет реферера.
Если это считается приемлемым - то ладно, сойдет и такой способ.
Вурдалак
Продвинутый новичок
Вот уж странно тут слышать о реферере, он вообще может учитываться только в случае, если он существует и там неверный адрес, а значит использоваться не может. А поскольку токен такими ограничениями не страдает (я так понимаю, тут мешает только лень), то проверка реферера вообще нафиг не нужна. Ваш КО.
Хотя учитывая второй пост с cURL, автор вряд ли имел в виду CSRF. IMHO, он даже и не догадывается о такой уязвимости.
P.S.
Хотя учитывая второй пост с cURL, автор вряд ли имел в виду CSRF. IMHO, он даже и не догадывается о такой уязвимости.
P.S.
«В iOS очень хорошо разблокировку экрана сделали!» — примерно то же самое. Примитивнейшая вещь, о чем тут вообще можно говорить? Расскажите лучше как можно было бы умудриться сделать это «не очень хорошо», это было бы интереснее.