Come posso prevenire la contraffazione su più siti?
Una contraffazione tra siti (XSRF o CSRF), nota anche con una varietà di nomi, tra cui contraffazione di richieste tra siti, sessioni di guida e attacchi con un clic, è un tipo difficile di exploit di siti Web da prevenire. Funziona inducendo un browser Web a inviare comandi non autorizzati a un server remoto. Gli attacchi di contraffazione tra siti funzionano solo contro gli utenti che hanno effettuato l'accesso a siti Web con credenziali autentiche; di conseguenza, disconnettersi dai siti Web può essere una misura preventiva semplice ed efficace. Gli sviluppatori Web possono utilizzare token generati casualmente per aiutare a prevenire questo tipo di attacco, ma dovrebbero evitare di controllare il referrer o fare affidamento sui cookie.
È comune per gli exploit contraffatti tra siti indirizzare i browser Web in quello che è noto come un "attacco vice confuso". Credendo di agire per conto dell'utente, il browser è indotto a inviare comandi non autorizzati a un server remoto. Questi comandi possono essere nascosti all'interno di parti apparentemente innocenti del codice di markup di una pagina Web, il che significa che un browser che tenta di scaricare un file di immagine potrebbe effettivamente inviare comandi a una banca, un rivenditore online o un sito di social network. Alcuni browser ora includono misure progettate per prevenire attacchi di contraffazione tra siti e programmatori di terze parti hanno creato estensioni o plug-in privi di tali misure. Potrebbe anche essere una buona idea disattivare l'e-mail HTML (HyperText Markup Language) nel tuo client preferito perché questi programmi sono anche vulnerabili agli attacchi di falsificazione tra siti.
Poiché gli attacchi di contraffazione tra siti si basano su utenti che hanno legittimamente effettuato l'accesso a un sito Web. Tenendo presente questo, uno dei modi più semplici per prevenire un simile attacco è semplicemente disconnettersi dai siti che si è finito di utilizzare. Molti siti che trattano dati sensibili, tra cui banche e società di intermediazione, lo fanno automaticamente dopo un certo periodo di inattività. Altri siti adottano l'approccio opposto e consentono agli utenti di accedere in modo persistente per giorni o settimane. Anche se potresti trovarlo comodo, ti espone agli attacchi CSRF. Cerca un'opzione "Ricordami su questo computer" o "Mantieni l'accesso" e disabilitala e assicurati di fare clic sul collegamento di disconnessione quando hai completato una sessione.
Per gli sviluppatori Web, l'eliminazione delle vulnerabilità alla falsificazione tra siti può essere un'attività particolarmente impegnativa. Il controllo delle informazioni sui referrer e sui cookie non fornisce molta protezione poiché gli exploit CSRF sfruttano le credenziali dell'utente legittimo e queste informazioni sono facili da falsificare. Un approccio migliore sarebbe generare casualmente un token monouso ogni volta che un utente accede e richiedere che il token sia incluso in qualsiasi richiesta inviata dall'utente. Per richieste importanti come acquisti o trasferimenti di fondi, richiedere all'utente di reinserire nome utente e password può aiutare a garantire l'autenticità della richiesta.