15 komentářů k článku Bezpečnost na webu – přehled útoků na webové aplikace:

  1. xurpha

    Krádež session
    Jsem jedinej paranoik, který na svých stránkách při každém načtení zabezpečené stránky měním session cookie (jak v DB, tak v prohlížeči)?

    1. Martin Hassman

      Re: Krádež session
      Jak se to vyrovná s tím, když uživatel v rámci session otevře odkaz do nového panelu a bude v prohlížení pokračovat současně z dvou panelů? V takovém případě by dle vašeho popisu nejspíš stránka v jednom panelu dostala novou session a druhá měla ještě session původní. Bude to uživateli fungovat?

      1. Maverick

        Re: Krádež session
        Vzhledem k tomu, že session cookies bývají sdílené a pouze jako non-permanent, pak se nová cookie nastaví pro všechny okna (a taby) v daném procesu (tj. i pro všechny okna otevřené z původního). Díky tomu pak dojde ke změně cookie ve všech oknech naprosto bez problému.

        1. Petr FerschmannAutor příspěvku

          Re: Krádež session
          To pak ale funguje jen proti krádeži session, ale nefunguje proti XSS ani CSRF.

          Myslím, že když to běží přes cookie tak je lepší nastavit flag HttpOnly. Nelze pak z JavaScriptu obsah cookie přečíst. Takže nelze cookie ukrást.

  2. Filip Jirsák

    kontrola IP adresy

    Problém nastane v případech, kdy uživatel nechce zadávat jméno a heslo každých několik hodin, ale chce být přihlášen i několik týdnů (uživatelova IP adresa se pak bude pravděpodobně měnit).

    IP adresa uživatele se může měnit i v řádu hodin nebo minut – stačí třeba být připojen přes proxy server s vyrovnáváním zátěže. Pokud už má někdo v moci třeba router na cestě od uživatele k serveru, aby dokázal odchytit session ID, nebude pro něj problém ani posílat a odchytávat dotazy s tou správnou IP adresou. Takže kontrola IP adresy session mi připadá jako takový efektní způsob, jak zdánlivě něco udělat pro bezpečnost, a ve skutečnosti neudělat nic – maximálně znesnadnit použití uživatelům, kteří opravdu mění IP adresu relativně často.

    1. petr.steinbauer

      Re: kontrola IP adresy
      Viděl jsem řešení, kde bylo na výber. Vedle přihlášení bylo předškrnuté tlačítko kontrolovat IP adresu.

      1. beer

        Re: kontrola IP adresy
        Byl tam spravny default. Kdyz uzivatel nerozumi, tak kontrolu IP adresy nevypne. Priste mozna bude nastvany, ze se mu heslo neulozilo, ale aspon ho nikdo nehackne.

    2. //R

      Re: kontrola IP adresy
      Man in the middle je ale úplně jiná kategorie útoků. Webové útoky typicky pocházejí od osob, které nemají s obětí nic společného.

    3. toby

      Re: kontrola IP adresy
      Pokud má někdo v moci router, nemusí se obtěžovat s odchytáváním sessionid, může si rovnou odchytit celou komunikaci včetně hesel.

      1. jam

        Re: kontrola IP adresy
        to ale platí jen pro HTTP komunikaci – pokud webová aplikace vyžaduje jen zabezpečené připojení (HTTPS), tak to samozřejmě není možné odposlechnout, aniž by nedošlo ke změně certifikátu (uživatel by na to měl být prohlížečem upozorněn)

  3. Jakub Vrána

    CSRF nejde proti HTTP

    Nelze tak např. přímo do e-mailu, který informuje o přidání příspěvku, uvést odkaz na smazání bez potvrzení.

    Odkaz pro smazání příspěvku bez potvrzení do e-mailu samozřejmě vložit lze. Stačí se oprostit od toho, že token (náhodný kód) musí být uložen právě do session a právě do formuláře. Token totiž může být na jedné straně součástí odkazu posílaného e-mailem a na druhé straně může být uložen v databázi vedle příspěvku. Aplikace tak zůstane odolná proti CSRF a zároveň pohodlná.

Napsat komentář

Tato diskuse je již příliš stará, pravděpodobně již vám nikdo neodpoví. Pokud se chcete na něco zeptat, použijte diskusní server Devel.cz

Zdroj: https://www.zdrojak.cz/?p=2863