Hvordan forhindrer jeg forfalskning på andre steder?
En forfalskning på tvers av nettsteder (XSRF eller CSRF), også kjent med en rekke navn, inkludert forfalskning på tvers av sider, økt med ridning og angrep med ett klikk, er en vanskelig type nettstedsutnyttelse å forhindre. Det fungerer ved å lure en nettleser til å sende uautoriserte kommandoer til en ekstern server. Angrep på tvers av steder fungerer bare mot brukere som har logget seg på nettsteder med autentisk legitimasjon; Som et resultat kan det å logge ut av nettsteder være et enkelt og effektivt forebyggende tiltak. Nettutviklere kan bruke tilfeldig genererte symboler for å forhindre denne typen angrep, men bør unngå å sjekke henviseren eller stole på informasjonskapsler.
Det er vanlig at forfalskninger fra andre steder for å målrette nettlesere i det som er kjent som et "forvirret stedfortredende angrep." Nettleseren lurer på å handle på brukerens vegne og lurer til å sende uautoriserte kommandoer til en ekstern server. Disse kommandoene kan være skjult inne i tilsynelatende uskyldige deler av en webside's merkingskode, noe som betyr at en nettleser som prøver å laste ned en bildefil, faktisk kan sende kommandoer til en bank, nettbutikk eller sosialt nettverk. Noen nettlesere inkluderer nå tiltak som er designet for å forhindre forfalskningsangrep på tvers av nettsteder, og tredjepartsprogrammerere har laget utvidelser eller plugins som mangler disse tiltakene. Det kan også være en god ide å slå av HyperText Markup Language (HTML) e-post i din foretrukne klient, fordi disse programmene også er sårbare for forfalskning på andre steder.
Siden angrep på tvers av nettsteder stoler på brukere som legitimt har logget seg på et nettsted. Med det i tankene er en av de enkleste måtene å forhindre et slikt angrep, ganske enkelt å logge ut av nettsteder du er ferdig med å bruke. Mange nettsteder som arbeider med sensitive data, inkludert banker og meglerfirmaer, gjør dette automatisk etter en viss periode med inaktivitet. Andre nettsteder bruker den motsatte tilnærmingen og lar brukerne være kontinuerlig logget på i dager eller uker. Selv om du kanskje synes dette er praktisk, utsetter det deg for CSRF-angrep. Se etter et "husk meg på denne datamaskinen" eller "Hold meg pålogget" og deaktiver det, og sørg for å klikke på utloggingslenken når du har fullført en økt.
For webutviklere kan det være en spesielt utfordrende oppgave å eliminere sårbarheter på tvers av nettsteder. Kontroll av informasjon om henvisning og informasjonskapsel gir ikke mye beskyttelse fordi CSRF-utnyttelser drar nytte av legitime brukeropplysninger og denne informasjonen er lett å forfalskes. En bedre tilnærming ville være å tilfeldig generere et token til engangsbruk hver gang en bruker logger inn, og kreve at tokenet blir inkludert i alle forespørsler som sendes av brukeren. For viktige forespørsler som kjøp eller overføring av midler, kan det å sikre brukeren legge inn brukernavn og passord bidra til å sikre ektheten av forespørselen.