CSRF - je toto dostatečné ?

HackForum

CSRF - je toto dostatečné ?#
Ahoj, při pohybu uživatele v oblasti, kde se manipuluje s účtem (změna hesla apod) generuju token do formu (sha1(time() to není) a nastavuju mu platnost 15 minut.
První otázka je, jestli je toto dostatečná ochrana pře CSRF ?
Druhá je, jakou platnost tomuto tokenu nastavit ? (pohodlí vs. bezpečnost)

Díky za odpověď.
(odpovědět)
Geekon | E-mail | PGP15.12.2011 6:46
re: CSRF - je toto dostatečné ?#
15 minut je rozumná hodnota.
Co jsi myslel tím "to není" v kódu (sha1(time() to není)? Jako že děláč sha1 z něčeho náhodného a ne z time()?
Co používáš jako úložiště tokenů? Předpokládám, že databázi. Někdo se rozhodne třeba pro použití session proměnné a pak to dopadá takhle: [link]

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP15.12.2011 8:57
re: CSRF - je toto dostatečné ?#
Je to shaX kombinace něčeho náhodného a něčeho, co vím. Úložiště je v databázi.

(odpovědět)
Geekon | E-mail | PGP15.12.2011 18:29
re: CSRF - je toto dostatečné ?#
Geekon: V tom případě OK. Není co tomu vytknout.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP15.12.2011 19:01

Zpět
 
 
 

 
BBCode