Jak zapobiec fałszerstwom międzynarodowym?
Forzarnie krzyżowe (XSRF lub CSRF), znane również pod różnymi nazwami, w tym fałszerstwo żądania między witryną, jazda sesji i atak jednego kliknięcia, jest trudnym typem exploit strony internetowej, aby zapobiec. Działa, oszukając przeglądarkę internetową do wysyłania nieautoryzowanych poleceń na zdalny serwer. Ataki do fałszowania krzyżowego działają tylko przeciwko użytkownikom, którzy zalogowali się na stronach internetowych z autentycznych poświadczeń; W rezultacie wylogowanie się ze stron internetowych może być prostym i skutecznym środkiem zapobiegawczym. Twórcy stron internetowych mogą używać losowo generowanych tokenów, aby zapobiec tego rodzaju ataku, ale powinni unikać sprawdzania poleceń lub polegania na plikach cookie.
Często wykorzystywanie fałszerstwa między stronami w przeglądarkach internetowych w przeglądarkach internetowych w tak zwanym „zdezorientowanym atakiem zastępczym”. Uważając, że działa w imieniu użytkownika, przeglądarka jest oszukana do wysyłania nieautoryzowanych poleceń na zdalny serwer. Polecenia te można ukryć w pozornie niewinnych częściach kodu znacznika strony, co oznacza, że brwiSer próba pobrania pliku obrazu może faktycznie wysyłać polecenia do banku, sprzedawcy internetowego lub witryny sieci społecznościowych. Niektóre przeglądarki zawierają teraz środki zapobiegające zapobieganiu atakom fałszerstwa krzyżowego, a programistowie stron trzecich utworzyli rozszerzenia lub wtyczki, w których brakuje tych środków. Dobrym pomysłem może być również wyłączenie e-maila z hipertekstowym językiem znaczników (HTML) w preferowanym kliencie, ponieważ programy te są również podatne na ataki fałszerstwa.
Ponieważ ataki fałszowania krzyżowego opierają się na użytkownikach, którzy prawnie zalogowali się na stronie internetowej. Mając to na uwadze, jednym z najłatwiejszych sposobów zapobiegania takiego ataku jest po prostu wylogowanie się z witryn, z którymi się skończysz. Wiele stron zajmujących się poufnymi danymi, w tym banki i firmy maklerskie, robi to automatycznie po określonym okresie bezczynności. Inne strony przyjmują odwrotne podejście i pozwalają użytkownikom być persistały się zalogowany przez kilka dni lub tygodni. Chociaż może się okazać to wygodne, naraża cię to na ataki CSRF. Poszukaj opcji „Pamiętaj o tym na tym komputerze” lub „Utrzymuj mnie” i wyłącz ją, i upewnij się, że kliknij link do wylogowania po zakończeniu sesji.
Dla programistów stron internetowych eliminowanie luk w rozstawieszlestce fałszerstwa może być szczególnie trudnym zadaniem. Sprawdzanie informacji o skierowaniu i plikach cookie nie zapewnia dużej ochrony, ponieważ exploits CSRF korzysta z uzasadnionych poświadczeń użytkownika, a informacje te są łatwe do fałszowania. Lepszym podejściem byłoby losowe generowanie tokena jednorazowego użytku za każdym razem, gdy użytkownik się zaloguje, i wymaga dołączenia tokena z dowolnym żądaniem wysłanym przez użytkownika. W przypadku ważnych żądań, takich jak zakupy lub transfery funduszy, wymaganie od użytkownika ponownego wejścia do nazwy użytkownika i hasła może pomóc zapewnić autentyczność żądania.