Jeton CSRF nécessaire lors de l'utilisation de Apatrides(= Sessionless) d'Authentification?

Est-il nécessaire d'utiliser une Protection CSRF lorsque l'application s'appuie sur apatrides d'authentification (en utilisant quelque chose comme HMAC)?

Exemple:

  • Nous avons une page unique application (sinon il faut ajouter le jeton sur chaque lien: <a href="...?token=xyz">...</a>.

  • Que l'utilisateur s'authentifie lui-même à l'aide de POST /auth. Sur la réussite de l'authentification, le serveur sera de retour quelques jeton.

  • Le jeton sera stocké via JavaScript dans une variable à l'intérieur de la single page app.

  • Ce jeton sera utilisé pour restreindre l'accès des URLs comme /admin.

  • Le jeton sera toujours transmis à l'intérieur des en-Têtes HTTP.

  • Il n'y a PAS de Session Http, et PAS de Cookies.

Comme je le comprends, il devrait(?!) pas de possibilité d'utiliser de la croix des attaques du site, parce que le navigateur ne permet pas de stocker le jeton, et ne peut donc pas automatiquement de l'envoyer au serveur (c'est ce qui allait se passer lors de l'utilisation de Cookies de Session).

Suis-je raté quelque chose?

  • Soyez prudent à propos de l'Authentification Basique. De nombreux navigateurs enverra automatiquement le basic auth-têtes pour le reste de la session. Cela peut rendre l'authentification basique comme vulnérables à la CSRF comme cookie d'authentification.
InformationsquelleAutor Benjamin M | 2014-01-25
  1. 152

    J'ai trouvé quelques informations sur CSRF + à l'aide de pas cookies à des fins d'authentification:

    1. https://auth0.com/blog/2014/01/07/angularjs-authentication-with-cookies-vs-token/

      "puisque vous n'êtes pas en s'appuyant sur les cookies, vous n'avez pas besoin de les protéger contre les demandes de site"

    2. http://angular-tips.com/blog/2014/05/json-web-tokens-introduction/

      "Si nous descendons les cookies façon, vous avez vraiment besoin de faire CSRF pour éviter les demandes de site. C'est quelque chose que l'on peut oublier lors de l'utilisation de JWT comme vous le verrez."

      (JWT = Json Web Jeton, un Jeton d'authentification basée sur les pour les apatrides apps)

    3. http://www.jamesward.com/2013/05/13/securing-single-page-apps-and-rest-services

      "La meilleure façon de faire de l'authentification sans risquer de vulnérabilités CSRF est simplement d'éviter d'utiliser des cookies afin d'identifier l'utilisateur"

    4. http://sitr.us/2011/08/26/cookies-are-bad-for-you.html

      "Le plus gros problème avec CSRF est que les cookies permettent absolument pas de défense contre ce type d'attaque. Si vous utilisez l'authentification par cookie, vous devez également employer des mesures supplémentaires pour protéger contre les CSRF. La plupart des mesures de précaution de base que vous pouvez prendre est de s'assurer que votre application ne soit jamais effectue les effets secondaires, en réponse à des demandes."

    Il y a beaucoup plus de pages, qui stipulent que vous n'avez pas besoin de toute la protection CSRF, si vous n'avez pas l'utilisation de cookies à des fins d'authentification. Bien sûr, vous pouvez toujours utiliser des cookies pour tout le reste, mais éviter tout ranger, comme session_id à l'intérieur.

    Si vous avez besoin de se rappeler à l'utilisateur, il y a 2 options:

    1. localStorage: Un navigateur key-value store. Les données stockées seront disponibles même après que l'utilisateur ferme la fenêtre du navigateur. Les données ne sont pas accessibles par d'autres sites, chaque site obtient son propre espace de stockage.

    2. sessionStorage: Également un navigateur de banque de données. La différence est là: Les données est supprimé lorsque l'utilisateur ferme la fenêtre du navigateur. Mais il est toujours utile, si votre webapp se compose de plusieurs pages. Ainsi, vous pouvez effectuer les opérations suivantes:

      • Utilisateur se connecte, puis stocker le jeton dans sessionStorage
      • Utilisateur clique sur un lien, qui permet de charger une nouvelle page (= un réel lien, et pas de javascript contenu-remplacer)
      • Vous pouvez toujours accéder au jeton de sessionStorage
      • De déconnexion, vous pouvez soit supprimer manuellement le jeton de sessionStorage ou attendre pour l'utilisateur de fermer la fenêtre du navigateur, ce qui effacera toutes les données stockées.

    (pour avoir un coup d'oeil ici: http://www.w3schools.com/html/html5_webstorage.asp )

    Existe-il des normes officielles pour le jeton d'authentification?

    JWT (Json Web Jeton): je pense que c'est encore un projet, mais il est déjà utilisé par de nombreuses personnes et le concept a l'air simple et sécurisée. (IETF: http://tools.ietf.org/html/draft-ietf-oauth-json-web-token-25 )

    Il y a aussi des bibliothèques pour beaucoup de cadre disponibles. Juste google pour elle!

    • Excellent résumé sur CSRF! Je note que le stockage de vos jetons dans le localStorage ou sessionStorage est vulnérable à des attaques XSS et que les données peuvent être visualisées par des scripts sur la page - si vous avez un compromis script servi à partir d'un CA ou si il y a un code malveillant dans l'une de vos bibliothèques JS, ils peuvent voler le jeton de ces lieux de stockage. Voir: stormpath.com/blog/... je pense que le plus sûr approche est de stocker un JWT + jeton CSRF dans le cookie, puis placez votre calculée JWT avec le jeton CSRF l'intérieur de la tête de la demande.
    • Sujet: "La plupart des mesures de précaution de base que vous pouvez prendre est de s'assurer que votre application ne soit jamais effectue les effets secondaires, en réponse à des demandes." Est-il possible pour une attaque CSRF pour simuler une requête POST?
    • Selon le Côté Serveur de l'Application, il PEUT être possible. Il y a des Frameworks Web, que d'utiliser quelque chose comme http://.../someRestResource?method=POST. Il est donc essentiel d'un GET demande, mais l'Application Serveur interprète comme un POST demande, parce qu'il a été configuré pour utiliser le method paramètre au lieu de l'en-tête HTTP. ... Concernant les navigateurs web courants, il s'agit d'appliquer la Même Origine Politique et ne s'exécutera GET requêtes à des serveurs étrangers. Bien qu'il pourrait être possible d'exécuter POST demandes de si le navigateur web ne s'applique pas à ceux des standards web (bug, les logiciels malveillants).
    • Outre les Server Side App: Il n'est toujours pas possible d'envoyer un Corps de Requête, car les navigateurs ne le permettrons pas. Toutefois, si l'Application Serveur qui permet method=POST, elle pourrait aussi permettre body={someJson} pour remplacer la valeur par défaut du corps de la requête. C'est vraiment de la mauvaise conception d'API et extrêmement risqué. Bien que si votre Serveur d'Application permet http://...?method=POST&body={someJson} vous devriez vraiment overthink ce que vous avez fait et pourquoi, et si c'est nécessaire. (Je dirais dans 99,9999% des cas, il est pas nécessaire). En outre, les navigateurs ne peut envoyer que quelques kilo-octets de cette façon.
    • notez que la Même règle d'Origine empêche seulement le code javaScript d'accéder à la suite ainsi, alors que la demande est "bloqué", il atteint réellement le serveur - jsbin.com/mewaxikuqo/edit?html,js,sortie j'ai uniquement testé sur firefox, mais vous pouvez ouvrir les outils de dev et de voir que même quand vous obtenez "Cross-Origin Demande Bloqué" le serveur distant de voir l'ensemble de la demande. c'est pourquoi vous devez avoir des jetons ou des en-têtes personnalisés (et si possible) à toutes vos requêtes POST
    • Une superbe écriture. Donc la réponse à la question est non, à droite?
    • Oui, fondamentalement, la réponse est "non", SI vous le faites à droite et suivre les règles!. Lire les commentaires et d'autres réponses ici! Vous verrez que il y a quelques pièges (comme l'utilisation de session/localStorage ou les cookies, etc.). Si vous n'êtes pas sûr de cela, vous pouvez combiner CSRF avec JWT, il n'y a rien de mal à cela.

    InformationsquelleAutor Benjamin M
  2. 54

    TL;DR

    Un JWT, si elle est utilisée sans les Cookies, nie la nécessité pour un jeton CSRF - MAIS! par le stockage de JWT dans la session/localStorage, votre exposer votre JWT et l'identité de l'utilisateur si votre site a une vulnérabilité XSS (assez commun). Il est préférable d'ajouter un csrfToken clé de JWT et stocker les JWT dans un cookie avec secure et http-only attributs définis.

    Lire cet article avec une bonne description pour plus d'info
    https://stormpath.com/blog/where-to-store-your-jwts-cookies-vs-html5-web-storage

    Vous pouvez faire cette protection CSRF apatrides, en y incluant un xsrfToken JWT demande:

    {
    "iss": "http://galaxies.com",
    "exp": 1300819380,
    "scopes": ["explorer", "solar-harvester", "seller"],
    "sub": "[email protected]",
    "xsrfToken": "d9b9714c-7ac0-42e0-8696-2dae95dbc33e"
    }

    De sorte que vous aurez besoin de stocker les csrfToken dans localStorage/sessionStorage ainsi que dans le JWT lui-même (qui est stocké dans un http seule et cookie de sécurité). Ensuite pour la protection csrf, vérifiez que le jeton csrf dans le JWT correspond à l'soumis csrf token-tête.

    • Cela semble être le plus commun-sens approche de la sécurité pour moi - surtout si le javascript de l'application reçoit un jeton d'actualisation. Vous n'avez pas vraiment un attaquant de csrf pour être en mesure de forger de jeton d'actualisation de la méthode.
    • Doit-on exonérer jeton csrf utilisation au cours de l'api d'authentification de l'utilisateur?
    • Il est intéressant de souligner (comme d'autres l'ont également mentionné dans les commentaires sur le lien source) que tout CSRF d'atténuation qui utilise un) des cookies, qui ne sont pas http seule ou b) les magasins le jeton CSRF dans le local de stockage est vulnérable à des attaques de type XSS. Cela signifie que l'approche présentée peut aider à maintenir la JWT secret d'un attaquant à l'aide de XSS, mais un attaquant doit toujours être en mesure d'exécuter une requête malveillante sur votre API parce qu'il est en mesure de fournir une preuve de JWT (via les cookies, merci de vous navigateur) et le jeton CSRF (lire via injecté JS du local de stockage/cookie).
    • En fait, même un jeton CSRF ne peut pas vous protéger à ce niveau de XSS, puisque vous êtes en supposant que l'attaquant peut accéder à localStorage, que le seul moyen actuellement pour l'accès c'est-à-script au niveau de l'accès, ils peuvent prendre un coup d'oeil de l'jeton CSRF de toute façon.
    • N'est-ce pas @JohannesRudolph était en train de dire? Dès que vous stocker le Jeton CSRF de Stockage Web/non-cookie http uniquement vous pouvez augmenter votre empreinte d'une attaque XSS, car ceux-ci sont accessibles via JS.
    • Merci pour vos commentaires les gars; je ne veux pas donner l'impression que c'est en quelque sorte en sécurité, même si votre site dispose d'une vulnérabilité XSS. Vous êtes tout à fait correct avec le jeton CSRF enregistré dans le stockage local que s'il existe une vulnérabilité XSS, un attaquant doit être capable de forger des demandes. La différence est peut-être mineur, mais dans la méthode que j'ai décrite, le JWT ne peut pas être volé (http seule cookie de sécurité) par rapport à l'économie de la JWT dans le local de stockage, il peut être volé.
    • Pas un total d'expert ici, mais si vous êtes encore exposés à des attaques de type XSS que vous étiez au début, je ne suis pas sûr de la partie Il est préférable d'ajouter... vraiment détient. Il est probablement un peu (?) plus compliqué pour un attaquant d'obtenir une prise de jeton CSRF, mais à la fin il est toujours en mesure d'effectuer une demande en votre nom, même sans connaître réellement les JWT jeton. Est-ce exact? Merci
    • Le JWT ne peuvent pas être volées du cookie http uniquement, mais le jeton CSRF peut être volé car il est nécessaire quelque part lisible. Si vous avez non approuvé le javascript sur votre page, vous êtes toujours vulnérable, mais je ne sais pas si il y a une vraie protection contre les non fiables js en plus de l'éviter soigneusement. Si vous n'êtes pas en utilisant des cookies, alors vous êtes exposant le jeton d'authentification, et si vous êtes, alors vous êtes exposant votre jeton CSRF. Suis-je tort?
    • Veuillez expliquer comment exposer le jeton CSRF le vol est plus sécuritaire que d'exposer les JWT être volé, en particulier lorsque le JWT est automatiquement envoyé?

    InformationsquelleAutor Scott Jungwirth