Piszę głównie aplikację ajaxową i szukam sposobu ochrony użytkownika przed atakami CSRF. Planuję uruchomić strony aplikacji, w której zalogowany jest użytkownik, aby wykonywać pracę w trybie HTTPS.Czy protokół HTTPS chroni przed atakami CSRF?
Czy uruchomienie strony w protokole HTTPS ma na celu ochronę przed atakami CSRF?
Nie, uruchomienie strony w HTTPS nie chroni jej przed CSRF. Fakt, że komunikacja między przeglądarką a serwerem jest szyfrowana, nie ma wpływu na CSRF.
Proponuję przeczytać wskazówki OWASP na temat preventing CSRF.
Dobra, dziękuję Oded za odpowiedź. – frenchie
Jakie są Twoje zalecenia dotyczące zabezpieczenia transakcji ajaxowych? Składanie formularzy wydaje się być dobrze udokumentowane, ale ajax znacznie mniej. – frenchie
@frenchie - Prawie wszystko, co dotyczy przesyłania formularzy dotyczy ajax, a także XSS. – Oded
Ogólny, złota zasada woule być:
Nigdy nie ufaj, że przychodzące żądanie klienta jest zasadny. Bądź zawsze podejrzliwy i zakładaj, że żądanie może zostać złośliwie sfałszowane.
kilku konkretnych zasad poza wspomnianym artykule OWASP:
jeśli dane wymaga uwierzytelniania/autoryzacji, unikać rodzajowe interfejsów na serwerze, jak interfejsu CRUD. łatwe do kodowania, trudne do autoryzacji konkretnych wniosków od klientów. zamiast tego zaoferuj interfejs w stylu SOA z jawnymi metodami dedykowanymi do konkretnych przypadków użycia, w których będziesz mieć bezpośrednią kontrolę nad żądaniami i ich parametrami.
nawet jeśli ramy zapewnia pewną kontrolę nad ważności żądania (ASP.NET viewstate), ponownie sprawdzić, czy użytkownik jest uprawniony do przekazania zestawu parametrów przychodzących.
Stan widoku? Moja prośba przechodzi na stronę z $ .ajax, więc nie mogę wykorzystać danych z widoku stanu do odświeżenia strony. – frenchie
To był tylko przykład konkretnego mechanizmu sprawdzania poprawności. –
Najlepszym możliwym rozwiązaniem jest dołączenie tajnych tokenów - w celu zidentyfikowania użytkownika - w formularzach przesłanych na serwer. Więcej informacji można znaleźć w poniższych odsyłaczach.
http://en.wikipedia.org/wiki/Cross-site_request_forgery
https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)
http://www.codinghorror.com/blog/2008/10/preventing-csrf-and-xsrf-attacks.html
To Zapytanie CSRF (Cross-Site Fałszerstwo) nie CSRF – CodesInChaos
@CodeInChaos: Ok, dzięki za edycji – frenchie
Pamiętaj, aby [start z odrobiną badań] (http://en.wikipedia.org/wiki/Cross-site_request_forgery) co do przyczyny wspomnianej luki. –