https://archive.mroczna-zaloga.org/ Paweł Goleń, blog - Zrzędzenie starego zgreda pl Serendipity - http://www.s9y.org/ Sat, 15 Mar 2025 22:15:20 GMT https://archive.mroczna-zaloga.org/templates/bulletproof/img/s9y_banner_small.png https://archive.mroczna-zaloga.org/ 100 21 https://archive.mroczna-zaloga.org/archives/660-jak-nie-nalezy-implementowac-ochrony-przed-csrf.html#c1314 https://archive.mroczna-zaloga.org/archives/660-jak-nie-nalezy-implementowac-ochrony-przed-csrf.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=660 nospam@example.com (wampir) Oczywiście, 100% racji odnośnie hash($i++) i "security by obscurity". Bardziej skuteczne może być coś (pseudo)postaci: $key = sha512($random_seed) hmac_sha1($i++, $key) ...z dokładnością do długości oraz sposobu pozyskania $random_seed i sensownością wykonywania dodatkowych funkcji na potencjalnie wystarczająco (cokolwiek to znaczy) losowym $random_seed. A poważniej - rzeczywiście czasami czuję pewien dyskomfort wynikający z faktu, że pewna wartość to hash($cos). To jaki hash jest używany można w pewien sposób domniemywać choćby po długości danych, natomiast ustalenie czym jest $cos jest dość problematyczne, w zasadzie często nie ma żadnych przesłanek, czy to jest warotść typu "$seq|$data" albo "$seq$data", albo "$data$seq", albo (...), a ustalenie tego $cos może być kluczowe dla bezpieczeństwa całości (np. przypadek $cos = time()). ...i tak przy okazji cała ta kwestia może być przykładem "wartości dodanej" usługi przeglądu kodu nad testem penetracyjnym (że o przewadze takiej usługi nad testem skanerami automatycznymi nie wspomnę). Fri, 24 Jul 2009 23:56:19 +0200 https://archive.mroczna-zaloga.org/archives/660-guid.html#c1314 https://archive.mroczna-zaloga.org/archives/660-jak-nie-nalezy-implementowac-ochrony-przed-csrf.html#c1309 https://archive.mroczna-zaloga.org/archives/660-jak-nie-nalezy-implementowac-ochrony-przed-csrf.html#comments https://archive.mroczna-zaloga.org/wfwcomment.php?cid=660 nospam@example.com (lpilorz) Tak trochę poza tematem: badanie losowości (narzędziami typu Burp Sequencer) na wyjściu funkcji sha1 niewiele daje - z samym własności funkcji haszującej wynika że nawet dla sha1($i++) wyjdą piękne wykresy. Dlatego to co wygląda na dobre tokeny często jest w praktyce "security by obscurity". Na szczęście zagrożenie CSRF jest zwykle na tyle niskie że to w zupełności wystarcza. Fri, 24 Jul 2009 21:09:10 +0200 https://archive.mroczna-zaloga.org/archives/660-guid.html#c1309