Protection CSRF avec la SCRO-tête d'Origine vs jeton CSRF

Cette question est au sujet de la protection contre les Cross Site Request Forgery attaques seulement.

C'est en particulier sur: la protection par l'Origine de l'en-tête (SCRO) aussi bon que la protection par l'intermédiaire d'un jeton CSRF?

Exemple:

  • Alice est connecté (à l'aide d'un cookie) avec son navigateur pour "https://example.com". Je suppose, qu'elle utilise un navigateur moderne.
  • Alice visites "https://evil.com", et evil.com s'côté client code effectue une sorte de demande de "https://example.com" (classique CSRF scénario).

Donc:

  • Si nous n'avons pas à vérifier l'Origine de l'en-tête (côté serveur), et aucun jeton CSRF, nous avons une CSRF trou de sécurité.
  • Si l'on contrôle un jeton CSRF, nous sommes sûr (mais c'est un peu fastidieux).
  • Si nous ne vérifier l'en-tête d'Origine, la demande de evil.com s'côté client code doit être bloqué juste comme bien comme il le ferait lors de l'utilisation d'un jeton CSRF - sauf, si c'est possible en quelque sorte pour evil.com le code pour définir l'en-tête d'Origine.

Je sais, que cela ne devrait pas être possible avec XHR (voir, par exemple,De sécurité pour le cross-origin resource sharing), au moins pas, si nous avons confiance que le W3C spec être correctement mis en œuvre dans tous les navigateurs modernes (peut-on?)

Mais que sur d'autres types de demandes - par exemple, soumettre? Chargement d'un script/img/tag...? Ou de toute autre manière une page peuvent utiliser (légalement) de créer une demande? Ou peut-être que certains connus JS hack?

Note: je ne parle pas

  • applications natives,
  • manipulé les navigateurs,
  • cross site scripting de bugs dans example.com's page,
  • ...
  • Je crois que beaucoup de procurations de bande de l'en-tête d'origine.
  • Et pour soumettre le formulaire et img/balises de script, nous devrions compter sur les Dsp, vous ne savez pas sur les vieux navigateurs bien.
  • Depuis que la connexion est initiée sur TLS l'utilisateur dispose d'un beaucoup plus urgent que CSRF si un proxy peut man-in-the-middle lui/elle.
  • Il a également ne peut pas faire de mal à utiliser les deux. Ils ne s'influencent les uns les autres.
  • Je crois que cette question appartient à security.stackexchange.com
  • pourquoi auraient-ils bande Origin? Qui irait à l'encontre de la protection de la SCRO.
  • J'aime cette question et ses réponses parce qu'ils sont sur quelque chose de spécifique, mais ils ont aussi de me rappeler la différence entre CSRF et de la SCRO. (J'avoue que ceux qui sont pas facilement être confondus concepts... Mais j'ai encore réussi à les confondre.)

InformationsquelleAutor Chris Lercher | 2014-07-10
  1. 38

    sais, que cela ne devrait pas être possible avec XHR (voir, par exemple, de Sécurité pour le cross-origin resource sharing), au moins pas, si nous avons confiance que le W3C spec être correctement mis en œuvre dans tous les navigateurs modernes (peut-on?)

    À la fin de la journée vous avez de "confiance" le navigateur client pour stocker en toute sécurité les données de l'utilisateur et de protéger le côté client de la session. Si vous n'avez pas confiance dans le navigateur du client, alors vous devez cesser d'utiliser le web à tous pour autre chose que du contenu statique. Même avec l'aide de jetons CSRF, vous êtes confiant le navigateur client correctement obéir à la Même La Politique De L'Origine.

    Alors qu'il y a eu auparavant des vulnérabilités du navigateur, tels que ceux dans IE 5.5/6.0 où il a été possible pour les pirates pour contourner la Même Origine et exécuter des attaques, vous pouvez généralement s'attendre à ces être corrigée dès que découvert et avec la plupart des navigateurs automatiquement la mise à jour, ce risque sera principalement atténués.

    Mais que sur d'autres types de demandes - par exemple, soumettre? Chargement d'un script/img/tag...? Ou de toute autre manière une page peuvent utiliser (légalement) de créer une demande? Ou peut-être que certains connus JS hack?

    La Origin en-tête est normalement envoyées uniquement pour XHR des requêtes inter-domaine. Image demandes de ne pas contenir l'en-tête.

    Note: je ne parle pas

    • applications natives,

    • manipulé les navigateurs,

    • cross site scripting de bugs dans example.com's page,

    Je ne suis pas sûr de savoir si cela relève de manipulé les navigateurs ou pas, mais les anciennes versions de Flash permis arbitraire des en-têtes set qui permettrait à un attaquant d'envoyer une demande avec une fausse referer en-tête de la machine de la victime dans le but d'exécuter une attaque.

    • L'exemple Flash est un bon - et peut-être d'autres plugins peuvent avoir une même vulnérabilité. Je peux (malheureusement) ne protègent Alice de CSRF, si elle utilise un navigateur moderne, etc, c'est clair. Mais il n'est pas déraisonnable, que même en tant que la sécurité de l'utilisateur, elle peut avoir installé 3e partie plugins - surtout quand ils sont de gros (digne de confiance) des entreprises. Même si ils peuvent écrire sûr des plugins, je ne suis pas convaincu à 100%, si ils pensent également CSRF! Donc, à moins que le navigateur sandbox de restreindre les plugins de porter atteinte à la SOP (font-ils peut-être?), Je préfère vous recommandons de coller avec le jeton CSRF.
    • Oui de jour moderne plugins semblent être un peu plus robuste. Cependant, à tout moment une nouvelle version pourrait être libéré qui permet à un attaquant d'en tirer parti dans une telle manière de contourner le navigateur de protection. La meilleure façon de le gérer (par exemple, jeton/en-tête) dépendra de la sensibilité de vos données et si ce risque est acceptable. Flash n'obéir à une concession, mais l'origine d'un plugin Flash est le site qu'il a été chargé à partir de (plutôt que le site appelant comme en JavaScript). Il y a un crossdomain.xml qui peut permettre les communications inter-domaines.
    InformationsquelleAutor SilverlightFox
  2. 27

    Contenu Web ne peut pas falsifier les en-tête d'Origine. En outre, en vertu de la même origine, une origine, ne peut même pas envoyer des en-têtes personnalisés à d'autres origines. [1]

    Ainsi, la vérification de l'en-tête d'Origine est tout aussi bon à blocage des attaques que l'utilisation d'un jeton CSRF.

    La principale préoccupation en s'appuyant sur ce qui est de savoir si elle permet à toutes les demandes légitimes de travail. La personne sait à propos de cette question, et a mis en place la question d'exclure l'une des causes majeures (pas de vieux navigateurs, HTTPS uniquement).

    Fournisseurs de navigateur suivez ces règles, mais ce que les plugins? Ils ne pourraient pas, mais la question méprise "manipulé les navigateurs." Ce sujet des bugs dans le navigateur qui permettent à un attaquant de forger l'en-tête d'Origine? Il peut y avoir des bugs qui permettent le jeton CSRF de fuite à travers les origines de trop, alors qu'il faudrait plus de travail à faire valoir que l'une est meilleure que l'autre.

    • Je viens de testé Firefox 47 et il ne prend pas en envoyer un en-tête d'origine pour un cross-origin post de formulaire (une commune de la façon d'attaquer des services RESTE que de ne pas activer la SCRO pour XHR), donc je ne pense pas qu'un en-tête d'origine vérification serait efficace que si l'utilisateur est à l'aide de Firefox.
    • Pour référence, la question de Firefox de ne pas l'envoi d'une "Origine" de l'en-tête est suivi sur Bugzilla: bugzilla.mozilla.org/show_bug.cgi?id=446344 Vous pourriez secours à la vérification de la "Referer" tête dans ce cas, mais dans mon expérience, certains utilisateurs de Firefox de bloquer le "Referer" en-tête en raison de problèmes de confidentialité (même si à mon humble avis, il suffirait de la bande de la voie et de la requête).
    InformationsquelleAutor guest