Jak działa generowanie tokenu CSRF

Question

Cześć, mam do was pytanie. Otóż realizuje aktualnie projekt, i staram się podejść do niego skrupulatnie. Nie siedziałem w życiu dużo nad różnego rodzaju zabezpieczeniami przed atakami hakerskimi, i chciałbym się was zapytać czy dobrze pojąłem idee tokenu CSRF. Pisane jest to w czystym php

1. Na początku w formularzu z logowaniem włączam sesje
2. Generuje randomowy token przy użyciu jakiejś funkcji do tego przeznaczonej np: md5(uniqid(rand(), true))
3. Token umieszczam w formularzu jako niewidoczny, i zapisuje do sesji
4. W pliku w którym odbierany jest token odczytuje sesje, i jeżeli różni się on od tego który został w formularzu wyświetlam błąd.

Dobrze to zrozumiałem? Dzięki z góry

Answer 1

Tak. Ważne jest to, żeby dla każdej akcji na stronie token był inny – dzięki temu praktycznie nie da się wykonać akcji w imieniu użytkownika bez znajomości jego sesji.

Comments

Akcja czyli inaczej mówiąc dla każdego formularza tak? Każdy formularz ma mieć swoją sesje, a czy po zalogowaniu ta sesja z tokenu jest również ważna?

---

Nie bardzo rozumiem, co znaczy po zalogowaniu?

---

Token jest zapisywany w sesji, i jest generowany przy każdym odświeżeniu formularza. Jeżeli użytkownik się zaloguje generuje token. Więc tak na serio sam fakt istnienia tokenu jest faktem że użytkownik się zalogował tak?

---

Chyba mylisz token sesji (który identyfikuje usera po zalogowaniu się) z tokenem CSRF, którego jedynym zadaniem jest ochrona formularzy przed złośliwym wysłaniem. To dwa oddzielne mechanizmy.

---

Dzięki wielkie! Jak zawsze niezawodny Comandeer.