Jak mohu zabránit padělání mezi míry?
Padělání na křížové stránce (XSRF nebo CSRF), známé také pod různými jmény, včetně nositele žádostí o křížové stránky, jízdy na relaci a útoku na jedno kliknutí, je obtížným typem využití webových stránek, kterému je třeba zabránit. Funguje tím, že podvádí webový prohlížeč k odesílání neoprávněných příkazů na vzdálený server. Útoky na padělání křížových stránek fungují pouze proti uživatelům, kteří se přihlásili na webové stránky s autentickými přihlašovacími údaji; Výsledkem je, že odhlášení z webových stránek může být jednoduchým a efektivním preventivním opatřením. Vývojáři webových stránek mohou používat náhodně generované tokeny, aby pomohli zabránit tomuto typu útoku, ale měli by se vyhnout kontrole referrer nebo spoléhat se na soubory cookie.
Je běžné, že výuky padělání na křížové stránce cílení na webové prohlížeče v tom, co se nazývá „zmatený zástupce útoku“. Věřící, že jedná za jménem uživatele, je prohlížeč podveden k odesílání neoprávněných příkazů na vzdálený server. Tyto příkazy mohou být skryty uvnitř zdánlivě nevinných částí značkového kódu webové stránky, což znamená, že obočíSer, který se snaží stáhnout obrázek obrazu, může ve skutečnosti odesílat příkazy do banky, online prodejce nebo sociálních sítí. Některé prohlížeče nyní zahrnují opatření navržená tak, aby zabránila útokům na padělání mezi místy, a programátoři třetích stran vytvořili rozšíření nebo pluginy, které tato opatření postrádají. Může být také dobré vypnout e-mail s hypertextem jazyka (HTML) ve vašem preferovaném klientovi, protože tyto programy jsou také zranitelné vůči útokům na padělání.
Protože útoky padělání na mezi místě se spoléhají na uživatele, kteří se legitimně přihlásili do webu. S ohledem na to je jedním z nejjednodušších způsobů, jak zabránit takovému útoku, jednoduše se odhlásit z webů, které jste dokončili. Mnoho webů, které se zabývají citlivými údaji, včetně bank a makléřských firem, to provádí automaticky po určitém období nečinnosti. Ostatní weby zaujímají opačný přístup a umožňují uživatelům být persiStěžovalo se přihlášeno několik dní nebo týdnů. I když to může být vhodné, vystavuje vás útokům CSRF. Podívejte se na možnost „Nezapomeňte si mě na tomto počítači“ nebo „udržet mě přihlášené“ a deaktivujte ji a po dokončení relace klikněte na odkaz na odhlášení.
Pro vývojáře webových stránek může být eliminace chybných padělek napříč míry obzvláště náročným úkolem. Kontrola informací o doporučení a souboru cookie neposkytuje velkou ochranu, protože vykořisťování CSRF využívá výhody legitimních údajů o uživateli a tyto informace se snadno spoofou. Lepším přístupem by bylo náhodné generování tokenu s jedním použitím pokaždé, když se uživatel přihlásí, a vyžaduje, aby byl token zahrnut do jakéhokoli požadavku zaslaného uživatelem. Pro důležité požadavky, jako jsou nákupy nebo převody fondu, může vyžadovat, aby uživatel znovu zastoupil uživatelské jméno a heslo, zajistit autentičnost požadavku.