Jak mohu zabránit padělání na různých stránkách?

Padělání napříč lokalitami (XSRF nebo CSRF), známé také různými jmény, včetně padělání žádostí napříč stránkami, jízdy na koni a útoku jedním klepnutím, je obtížným typem zneužití webových stránek, kterému lze zabránit. Funguje tak, že podvádí webový prohlížeč do odesílání neautorizovaných příkazů na vzdálený server. Útoky na padělání napříč weby fungují pouze proti uživatelům, kteří se přihlásili na webové stránky s autentickými údaji; v důsledku toho může být odhlášení z webových stránek jednoduchým a účinným preventivním opatřením. Weboví vývojáři mohou pomocí náhodně generovaných tokenů zabránit tomuto typu útoku, ale měli by se vyhnout kontrole referreru nebo spoléhat se na cookies.

Pro falšování napříč weby je běžné, že cílí webové prohlížeče na tzv. „Zmatený útok zástupce“. Věříme, že prohlížeč je jednající jménem uživatele, a proto je vyzván k tomu, aby odeslal neautorizované příkazy na vzdálený server. Tyto příkazy mohou být skryty uvnitř zdánlivě nevinných částí značkovacího kódu webové stránky, což znamená, že prohlížeč, který se pokouší stáhnout obrazový soubor, může ve skutečnosti odesílat příkazy do banky, online maloobchodníka nebo na web sociálních sítí. Některé prohlížeče nyní obsahují opatření určená k zabránění útokům na padělání napříč weby a programátoři třetích stran vytvořili rozšíření nebo doplňky, které tato opatření postrádají. Dobrým nápadem může být také vypnout e-mail v jazyce HyperText Markup Language (HTML) u vámi preferovaného klienta, protože tyto programy jsou také citlivé na útoky na padělání napříč lokalitami.

Protože útoky na padělání napříč servery se spoléhají na uživatele, kteří se legitimně přihlásili na web. S ohledem na to je jedním z nejjednodušších způsobů, jak zabránit takovému útoku, jednoduše odhlásit se z webů, které jste již používali. Mnoho webů, které se zabývají citlivými údaji, včetně bank a makléřských společností, to provádí automaticky po určité době nečinnosti. Jiné weby používají opačný přístup a umožňují uživatelům, aby byli trvale přihlášeni dny nebo týdny. I když se vám to hodí, vystavuje vás útokům CSRF. Vyhledejte možnost „zapamatovat si mě v tomto počítači“ nebo „ponechat mě přihlášeni“ a deaktivujte ji. Po dokončení relace nezapomeňte kliknout na odkaz pro odhlášení.

Pro vývojáře webových stránek může být odstranění zranitelnosti mezi padělatelskými weby obzvláště náročným úkolem. Kontrola informací o odkazujících a souborech cookie neposkytuje velkou ochranu, protože využití CSRF využívá legitimních uživatelských údajů a tyto informace lze snadno kopírovat. Lepším přístupem by bylo náhodně vygenerovat token pro jedno použití pokaždé, když se uživatel přihlásí, a vyžadovat, aby byl token zahrnut do jakékoli žádosti odeslané uživatelem. U důležitých požadavků, jako jsou nákupy nebo převody finančních prostředků, může vyžadovat, aby uživatel znovu zadal uživatelské jméno a heslo, zajistit autentičnost žádosti.