Pe ce lucrări de principiu CSRF de protecție jeton și modul în care aceasta este diferită de jeton api

  • Pe ce lucrări de principiu CSRF de protecție jeton și modul în care aceasta este diferită de jeton api

Buna ziua, te rog spune-mi, ce este scopul protecției împotriva CFRF un simbol (așa cum am înțeles - acest lucru permite chiar și abandoneze CAPTCHA), în cazul în care, de fapt, un cod unic care există numai pe server pentru acest sessid?

Clientul solicită pagina de server
Serverul începe o sesiune, utilizatorul trimite sessid, creează un jeton la reține jeton
Clientul cere serverului de la o altă pagină
Server sessid el scoate din sesiunii sale jeton și împinge în antet. astfel încât același token-ul de utilizator pentru a deschide un antet primi, și apoi confundat cu acest simbol? (În acest loc, deoarece lasă o wikipedia gaura, confundând conceptele de „trimite antet“ și „a lua titlul de“) - dacă ne replieze la rezultatele expune titlul, acest client va primi un jeton pe care serverul a primit deja sessid său de jetoane și nu a căzut de trei ori.

Și pe ideea de a proteja clientul său nu ar trebui să primească un semn, ar trebui să funcționeze fără ea, pentru că:
a) face bunica Nina pentru a introduce 64 cifre jeton alfanumeric - acesta este vândut imediat la zero
b) transmiterea de informații confidențiale unui utilizator, fără criptare înseamnă că oricine vizionarea video pe YouTube și a luat un laptop cu Linux primește un pachet cu token-ul și devine utilizatorii pe unu la doi
c) stocarea jetonului într-un cookie? De ce? și deci nu este unicitatea sessid de care este menținut la nivel de server, iar acesta poate fi un substitut nu poate fi transformat

Voi înțelege semn proteja împotriva cererea în numele calculator, dar cum pentru a forma jeton cravată, în cazul în care clientul este implicat în acest proces doar în sesiunea sa, iar serverul apoi el însuși există vise ceva?

Aici, în protecția API, care se va transforma cutia diferite, cu lucruri de fier, există o cerere la tine de numele și parola dă dovadă că în mod conștient copiați și inserați codul în antetul, care a trimis la server, în cazul în care SSL / TLS nu a fost decripta previzibil limite de timp, și pentru că este o dovadă că computerul este computerul.

Dar crearea token-ul pentru utilizator în momentul depunerii formularului? Cum este această apărare, eu nu înțeleg de la CFRF

O pisica de programare.

În primul rând, probabil, încă CS RF token.
În al doilea rând, CSRF jeton de intrare nicăieri mâinile nu este necesar, de obicei este cuplat la o suplimentare. câmp ascuns în momentul depunerii formularului. Ideea este de a oferi un atacator nu a putut de trimitere sau de a face pe site-ul său o formă de tranziție, care ar face înregistrate pe un utilizator de resurse direcționate pentru a face unele acțiuni implicite (schimbarea parolei, e-mail, a scrie un mesaj, transfer de fonduri, și așa mai departe) .

Și apoi se face o verificare - dacă există o bază de jetoane jetoane a trecut în câmpul semn al cererii este de dor, în caz contrar - „jeton invalid“?

Căci, dacă vă certați cu faptul că textul este imposibil să-și exprime ideile concrete ale unei anumite persoane și este destul de o situație normală, că nu au înțeles ce celălalt a scris, este încă ceva să vorbească cu tine să simți asta.

Ai venit pentru a demonstra capacitatea lor de a utiliza un motor de căutare. Tu ești nici un ajutor, nimic, cu excepția cacealma aruncate, deși în prezent, în acest caz, ați ajutat, reputația este, fără îndoială, adaugă el.