Comments on: Så förhindrar du CSRF-attacker

by: Random

Sat, 04 Dec 2010 17:47:18 +0000

Tackar!
Riktigt bra beskrivning, ska kolla på min egen sida om detta funkar.

by: scandi

Sat, 21 Aug 2010 23:32:50 +0000

Thehttp://www.scandi-tours.com - . details underneath dissemble routes to Denmark, Norway, Sweden and Finland from the UK and Ireland. In her own coin representing connections within Scandinavia itself, discern the “Getting There” sections in restitution with a view each Individualistic country. NEXT TO MATTE Flying to Scandinavia isn’t predominantly cheap. Lowcost come down with flights do exhale, but they’re not teeming and considerably between and gratify at worst scant destinations; more Bumf follows, and is at in unison’s fingertips from the operators listed guardianship “Packages”. Continually the most filch startingpoint on account of the cheapest deals to Scandinavia is the classified sections in the Sunday newspapers

by: Niklas

Mon, 09 Jun 2008 06:22:59 +0000

Sebastian: Din idé om captchan med dynamisk längd är lite intressant.

Om man pratar om rena CSRF-attacker så skulle jag säga att lösenord och captcha skyddar ungefär lika mycket. Men om man som du säger hamnar i en situation där lösenordet har fiskats fram på något sätt så kan ju en captcha skydda något mer, i den bemärkelse att det blir svårare att rent programkodsmässigt skriva en kod som automatiskt utför saker.

Men det finns ju också situationer då en fråga om lösenord kan skydda mycket mer än en captcha. Till exempel när någon kommit över en annans användares konto, utan att veta om lösenordet. Det är ju relativt vanligt att man begär lösenord igen för mer radikala förändringar som inte utförs så ofta, så som att ändra ett lösenord eller radera ett konto. Just för att säkerställa att ingen annan lyckats komma åt ett konto från en tidigare användare av datorn som varit slarvig och inte loggat ut.

Slutligen; på vilket sätt menar du att en token som är låst till IP-nummer/användarnamn skulle vara mer säker än en slumpvist genrererad? Kan inte riktigt se att det skulle bli ett bättre skydd mot CSRF.

by: sebastian nielsen

Fri, 06 Jun 2008 17:48:20 +0000

Att kräva att man anger lösenordet igen för ett formulär var en mycket dålig idé. Det är osäkrare att kräva lösenord istället för captcha då lösenord kan snappas upp. Tänk om någon lyckas montera en XSS som plockar värdet ur lösenordsfältet varje sekund?

Dessutom, är man redan inloggad, så varför ska man behöva logga in igen?

Captcha är såklart mycket säkrare, iochmed att den ändrar sig varje gång. Dessutom kan man implementera så captchan i sitt initialskede bara är på typ 3 tecken. Varje gång man misslyckas så lägger den till ett tecken, upp till max säg 8 tecken. Så man får en captcha på 3 tecken. Gör man fel, får man en captcha på 4 tecken. Gör man fel igen så får man en captcha på 5 tecken osv till den är på 8 tecken då ökar den inte längre. När man svarar rätt på captchan så återställs failure-räknaren.

Failure-räknaren kan sparas på användarkontot istället för IP-nummer.

Kombinera detta med tokens som är låsta till både IP-nummer och användarnamn och det börjar bli riktigt säkert.

by: Pimp

Wed, 02 Apr 2008 22:14:40 +0000

Mycket bra skriven. Dags att lägga upp CSRF-skydd på min webbplats då. Tokens verkar vara det mest vettiga för en användarvänlig webbapplikation.

by: Pinback

Mon, 26 Nov 2007 08:46:11 +0000

Hittat under november 2007 - Weeb

by: Jesper

Sun, 02 Sep 2007 12:12:41 +0000

Tack för artikeln, du förklarar på ett bra sätt hur CSRF-attacker fungerar. Jag hade inte riktigt greppat det förrän nu.