DS
Size: a a a
2020 September 14
AM
Ну, ужасный с точки зрения безопасности ответ.
AM
Так делать ни в коем случае нельзя.
DS
Так делать ни в коем случае нельзя.
Почему нельзя? Где проблема в безопасности?
AM
Ты понимаешь зачем токен маскируют при выводе в HTML?
AM
Добавление timestamp после маскирования — это вектор для атаки типа BREACH потому как вероятно сервер синхрится по NTP, а значит у нас появляется известная довольно жирная часть токена.
DS
Ты понимаешь зачем токен маскируют при выводе в HTML?
Да, он и будет маскироваться, просто сможем дополнительно манипуляции с токеном делать до того, как наложить маску и после снятия
AM
Ну и не очень понятно, зачем токену timestamp...
DS
Ну и не очень понятно, зачем токену timestamp...
Например я хочу дать токену время жизни 10 минут, после он будет невалиден, сейчас я для этого могу сделать отдельную реализацию CsrfMaskInterface и получить нужный функционал. Если захардкодить маску, как ты хочешь, то такой возможности у меня не будет.
AM
Это странное желание. Это тебе не токен аутентификации или что-то такое. Делать устаревание CSRF токена бессмысленно.
AM
Ты только навредишь своим пользователям.
AM
Иногда они будут получать ошибку вместо сабмита.
AM
А профита ноль.
AM
С безопасностью очень просто отстрелить себе ногу. И если мы уверены что правильно "вот так" и что по-другому точно хуже, то лучше не давать пользователю менять что-либо в этом плане. В этом случае я уверен что при маскировании 100% не надо ничего лишнего делать.
DS
С безопасностью очень просто отстрелить себе ногу. И если мы уверены что правильно "вот так" и что по-другому точно хуже, то лучше не давать пользователю менять что-либо в этом плане. В этом случае я уверен что при маскировании 100% не надо ничего лишнего делать.
Если не надо, значит выпилить
AM
СП
Я тогда и класс и интерфейс выпиливаю и жёстко в нужных местак вызываю хелпер для маски, так?
DS
Я тогда и класс и интерфейс выпиливаю и жёстко в нужных местак вызываю хелпер для маски, так?
да
DS
Это странное желание. Это тебе не токен аутентификации или что-то такое. Делать устаревание CSRF токена бессмысленно.
Это не так. Если ты пишешь токен в сессию, то все формы в течение сессии будут проверятся по одному и тому же токену. При утечке токена из одной формы у злоумышленника будет возможность отправлять любые формы на все время сессии. Если мы делаем дополнительную маску с интервалом времени, то валидность токена будет ограничена этим интервалом.