CSRF - je toto dostatečné ?
HackForum
CSRF - je toto dostatečné ? | # |
| Ahoj, při pohybu uživatele v oblasti, kde se manipuluje s účtem (změna hesla apod) generuju token do formu (sha1(time() to není) a nastavuju mu platnost 15 minut.
První otázka je, jestli je toto dostatečná ochrana pře CSRF ?
Druhá je, jakou platnost tomuto tokenu nastavit ? (pohodlí vs. bezpečnost)
Díky za odpověď. (odpovědět) | |
|
|
re: CSRF - je toto dostatečné ? | # |
| 15 minut je rozumná hodnota.
Co jsi myslel tím "to není" v kódu (sha1(time() to není)? Jako že děláč sha1 z něčeho náhodného a ne z time()?
Co používáš jako úložiště tokenů? Předpokládám, že databázi. Někdo se rozhodne třeba pro použití session proměnné a pak to dopadá takhle: [link]
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem. (odpovědět) | |
|
|
re: CSRF - je toto dostatečné ? | # |
| Je to shaX kombinace něčeho náhodného a něčeho, co vím. Úložiště je v databázi.
(odpovědět) | |
|
|
re: CSRF - je toto dostatečné ? | # |
| Geekon: V tom případě OK. Není co tomu vytknout.
----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem. (odpovědět) | |
|
|