|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
PetroNotC Sharp Андрей Панфилов, Ты дальше то отвечай. Слабо? Придержи коней бро. Ты супротив Андрея всё одно что "плотник супротив столяра" (c) Чехов. Просто он фактами говорит а ты - больше манипулируешь ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 12:34 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
mayton, Неа. Он супротив блазковича ягненок. Блазкович без всякой воды брал пост и квотировал все строчки ответом. Бывало и 15 ответов было. Вот это факт. Будем считать что вообще он крут, но сегодня не с той ноги встал. Завтра исправится. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 12:45 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Я вообще имел ввиду synchronizer token pattern Кажется топик вообще не об этом вышел ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 12:45 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
questioner Я вообще имел ввиду synchronizer token pattern Кажется топик вообще не об этом вышел ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 12:46 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
PetroNotC Sharp questioner Я вообще имел ввиду synchronizer token pattern Кажется топик вообще не об этом вышел Тебе отвечать = кормить тролля. Не важно по теме или нет - лишь бы ляпнуть что-то. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 12:57 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
questioner, Дык ты никому не отвечал. Только неучи видят проблему в петро. Не образованные, что с них взять. Раньше на молнии крестились) ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 13:09 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Андрей Панфилов То, что Вы описали, вроде обычный injection. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 14:31 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Leonid Kudryavtsev То, что Вы описали, вроде обычный injection. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 14:37 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Если SQL injection внести в документации (и даже в техническое задание), оно не перестанет быть SQL injection. Максмимум станет documented SQL injection IMHO ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 16:46 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Leonid Kudryavtsev, ну можете в таком случае завести какой-нить CVE на MS, Oracle и всех до кого руки дотянутся - там же можно SQL выполнять, о ужас! Вы CORS от XSRF отличить не можете, а мнение при этом имеете. ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 17:25 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Leonid Kudryavtsev Может я туплю, но вроде же кросс домен запросы (и куки) давным-давно запретили. И если специальных действий не предпринимать (если сайт Сбера специально на своем сайте не выставил, что разрешает кросс домен запросы на сайт хакера), то фиг что у хакеров получится. 2. Именно из-за того что кросс-домены запрещены нам нужен CORS. Он как раз разрешает с других сайтов слать запрос на наш сервер (а нам это, возможно, как раз нужно). Без него позволены только Simple Requests. И вот когда мы разрешили с помощью CORS кросс-доменные запросы, нам нужно побеспокоиться чтоб только определенный набор запросов мог проходить. А остальные защищаются CSRF token'ом. Т.е. мы как бы открыли возможность ходить к нам с чужих ресурсов, но при этом не хотим позволять совсем что угодно делать. 3. Ну и остаются все же Simple Requests которые позволены и без CORS - если мы не хотим их позволять, то надо либо запретить эти Simple Requests (например, требуя доп http header во всех запросах), либо разрешить но при этом использовать CSRF token. Андрей Панфилов в спринге кука зовется XSRF-TOKEN, а заголовок X-XSRF-TOKEN, мы же здесь про жаву и спринг, поэтому нет оснований не доверять спрингу ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 18:01 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Stanislav Bashkyrtsev И вот когда мы разрешили с помощью CORS кросс-доменные запросы, нам нужно побеспокоиться чтоб только определенный набор запросов мог проходить. А остальные защищаются CSRF token'ом. Т.е. мы как бы открыли возможность ходить к нам с чужих ресурсов, но при этом не хотим позволять совсем что угодно делать ... |
|||
:
Нравится:
Не нравится:
|
|||
29.12.2021, 19:39 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Stanislav Bashkyrtsev Хотя так-то подумать CORS настраиваться достаточно гибко и на каждый ресурс его можно свой настроить. Так что может в CSRF токенах все-таки есть смысл только в случае Simple Requests.. ... |
|||
:
Нравится:
Не нравится:
|
|||
30.12.2021, 06:33 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Stanislav Bashkyrtsev Хотя так-то подумать CORS настраиваться достаточно гибко Сначала обоснуй зачем понадобились такие запросы. А потом борись с браузерами, системой, серверами и здравой логикой ... |
|||
:
Нравится:
Не нравится:
|
|||
30.12.2021, 07:08 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Андрей Панфилов Stanislav Bashkyrtsev Хотя так-то подумать CORS настраиваться достаточно гибко и на каждый ресурс его можно свой настроить. Так что может в CSRF токенах все-таки есть смысл только в случае Simple Requests.. Плюс ко всему на сервере нужно добавить фильтр который требует наличие какого-то кастомного HTTP хедера. Не важно что там будет, но это гарантирует что браузер пошлет preflight запрос чтоб проверить CORS хедеры. От нас он получит запрет (по умолчанию). В JS мы можем централизировано добавить хедер (опять же - не важно что в нем). И таким образом ни один запрос с другого сайта не пройдет. И если мы никогда не делаем form submission, то все - больше делать ничего не надо. Мы защищены от любого CORS запроса. Такой подход вот у OWASP описан . Т.е. в итоге нам CSRF токен нужен только в случае form submission . ... |
|||
:
Нравится:
Не нравится:
|
|||
30.12.2021, 11:42 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Stanislav Bashkyrtsev И если мы никогда не делаем form submission, то все - больше делать ничего не надо. Мы защищены от любого CORS запроса ... |
|||
:
Нравится:
Не нравится:
|
|||
30.12.2021, 12:58 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Stanislav Bashkyrtsev, Все о чем ты усиленно пишешь не работает для простых запросов. То есть text а не json. Ну и запросы сабмита и тегов типа <img То есть запрос атаки CSRF уйдет на сервер. Вариант эксплоита писал выше. Ну и браузеров счас море. Затрахаешься свой CORS настраивать. Мораль - не лезь в защиту. Не используй междоменные вообще. ... |
|||
:
Нравится:
Не нравится:
|
|||
30.12.2021, 13:08 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Stanislav Bashkyrtsev И если мы никогда не делаем form submission Это же анекдот! Рассматриваем ЗАЩИТУ БЭКА! А ТРЕБОВАНИЯ К КЛИЕНТУ)))))) ... |
|||
:
Нравится:
Не нравится:
|
|||
30.12.2021, 13:15 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Все кто говорит что сабмит уже не торт и он помер - теоретики. Удачи аффтару! ... |
|||
:
Нравится:
Не нравится:
|
|||
30.12.2021, 13:16 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Basil A. Sidorov Stanislav Bashkyrtsev И если мы никогда не делаем form submission, то все - больше делать ничего не надо. Мы защищены от любого CORS запроса Правда ресурсы которые nginx/apache кеширует все равно можно будет запросить с помощью CSRF (но не вычитать результат!). Но это и не страшно - раз уж мы используем public cache, то ожидаем что кто угодно сможет сделать запрос, даже без привлечения пользователя. ... |
|||
:
Нравится:
Не нравится:
|
|||
30.12.2021, 13:37 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Stanislav Bashkyrtsev Но это и не страшно То есть то что браузер не показал ответ но выполнил запрос стаса успокоило))) : LOL Пиши ещё. Взял попкорн. ... |
|||
:
Нравится:
Не нравится:
|
|||
30.12.2021, 13:42 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Stanislav Bashkyrtsev preflight запрос Опять покажусь невеждой, но что это такое? ... |
|||
:
Нравится:
Не нравится:
|
|||
30.12.2021, 15:11 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Leonid Kudryavtsev Stanislav Bashkyrtsev preflight запрос Опять покажусь невеждой, но что это такое? Ну и к нашей теме это относится потому что любой запрос который мы хотим послать на другой домен требует такого вот preflight запроса. Кроме запросов которые подпадают под понятие Simple Requests . ... |
|||
:
Нравится:
Не нравится:
|
|||
30.12.2021, 15:26 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Leonid Kudryavtsev Stanislav Bashkyrtsev preflight запрос Опять покажусь невеждой, но что это такое? Ооо это круто. Услышав чаяния несознательных прогеров, которые хотят из вкладки app посылать запросы в банк, придумали дополнительно к post, get, спец запрос OPTIONS. Ну то есть целую шнягу о которой пишет стас. Там протокол, доп запросы, обязанности сервера и производителей браузеров. Не хакеров в конечно. Они подписку не давали)) Выше ты спрашивал, как кроссдомен если они запрещены? Дак вот, и придумали))))). ... |
|||
:
Нравится:
Не нравится:
|
|||
30.12.2021, 15:50 |
|
защита от CSRF через токены.
|
|||
---|---|---|---|
#18+
Stanislav Bashkyrtsev, Юлишь конечно. К теме Защита относится если автору нужн понижение безопасности. Так как CORS это новый метод снижения безопасности и обхода запрета кроссдоменной политики. Мне жаль. Но это суть. ... |
|||
:
Нравится:
Не нравится:
|
|||
30.12.2021, 15:55 |
|
|
start [/forum/topic.php?fid=59&msg=40123869&tid=2120272]: |
0ms |
get settings: |
24ms |
get forum list: |
13ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
35ms |
get topic data: |
11ms |
get forum data: |
3ms |
get page messages: |
452ms |
get tp. blocked users: |
2ms |
others: | 278ms |
total: | 826ms |
0 / 0 |