نمایش نتایج 1 تا 5 از 5

نام تاپیک: جلوگیری از حمله CSRF و مشکل در باز شدن چند صفحه (چند Tab)

  1. #1

    جلوگیری از حمله CSRF و مشکل در باز شدن چند صفحه (چند Tab)

    من برای جلوگیری از حمله CSRF درون صفحه یک Token قرار می دهم و هنگام Submit فرم، Token را با متغیری که در Session رجیستر شده مقایسه میکنم.
    اما مشکل من این هست که اگر یک کاربر بطور همزمان صفحه مورد نظر را در 2 تب جداگانه باز نماید، فقط Token صفحه آخر معتبر می باشد.
    برای رفع این مشکل برای هر صفحه یک Token با کلید و مقدار منحصربفرد ایجاد می کنم که هر صفحه Token خودش را داشته باشد.
    اما مشکل اینجا هست که خیلی سریع تعداد Token های استفاده نشده در Session زیاد خواهد شد.
    برای رفع این مشکل برای هر Token یک Expire تایم قرار دادم که هنگام بررسی صحت Token، ،Token هایی که Expire شده اند حذف می گردد.

    آیا راه بهتری برای انجام این کار وجود دارد؟

  2. #2

    نقل قول: جلوگیری از حمله CSRF و مشکل در باز شدن چند صفحه (چند Tab)

    برای تمام فرمهای سشن یک کاربر خاص، از یک توکن استفاده کن.
    از نظر امنیتی استفاده از چند توکن کمی بهتره، ولی به دردسرهاش نمی ارزه.
    در همون حد پایه که انجام بدی کافیه.
    بیشترش دیگه وسواسی بنظر میاد.
    این حرفا رو هم فقط از خودم نمیگم، بلکه در چند منبعی هم خونده بودم.




  3. #3

    نقل قول: جلوگیری از حمله CSRF و مشکل در باز شدن چند صفحه (چند Tab)

    نقل قول نوشته شده توسط eshpilen مشاهده تاپیک
    برای تمام فرمهای سشن یک کاربر خاص، از یک توکن استفاده کن.
    از نظر امنیتی استفاده از چند توکن کمی بهتره، ولی به دردسرهاش نمی ارزه.
    در همون حد پایه که انجام بدی کافیه.
    بیشترش دیگه وسواسی بنظر میاد.
    این حرفا رو هم فقط از خودم نمیگم، بلکه در چند منبعی هم خونده بودم.
    یعنی برای کاربری که Login کرده، یک token ایجاد کنم و از همین Token در تمام قسمت ها استفاده کنم؟!
    یعنی دیگر نیازی به Generate کردن مداوم و تغییر Token نیست؟!

  4. #4

    نقل قول: جلوگیری از حمله CSRF و مشکل در باز شدن چند صفحه (چند Tab)

    بله میتونید تنها یک توکن برای هر جلسهء کاربر ایجاد کنید. منظورم تا زمانیکه مرورگر کاربر بازه.
    برای برنامه های عادی بنظر بنده بیش از این وسواسه. چون هم دردسرهای فنی/برنامه نویسی داره و هم برای کاربر میتونه مشکل ایجاد کنه (User experience).
    اساس و عمدهء امنیت رو همون تک توکن هم ایجاد میکنه.

  5. #5

    نقل قول: جلوگیری از حمله CSRF و مشکل در باز شدن چند صفحه (چند Tab)

    با این اوصاف از همین یک Token استفاده می کنم. اما کنجکاو شدم که چطور میشه همچین سیستمی را پیاده سازی کرد؟ (برای هر صفحه یک Token مجزا)

تاپیک های مشابه

  1. سوال: مشکل در باز کردن یک صفحه ASPX در وب سایت
    نوشته شده توسط war1351 در بخش ASP.NET Web Forms
    پاسخ: 11
    آخرین پست: پنج شنبه 03 مرداد 1387, 11:01 صبح
  2. جلوگیری از باز شدن یک صفحه در ویندو
    نوشته شده توسط mehrdad201 در بخش ASP.NET Web Forms
    پاسخ: 10
    آخرین پست: جمعه 04 آبان 1386, 05:06 صبح
  3. مشکل در باز شدن سایت
    نوشته شده توسط ***UNIQUE*** در بخش ASP.NET Web Forms
    پاسخ: 13
    آخرین پست: سه شنبه 10 مهر 1386, 13:45 عصر
  4. مشکل دیر باز شدن برنامه ای که از DBIsam استفاده شده
    نوشته شده توسط nasr در بخش بانک های اطلاعاتی در Delphi
    پاسخ: 2
    آخرین پست: شنبه 29 فروردین 1383, 01:10 صبح
  5. مشکل دیر باز شدن فایل exe
    نوشته شده توسط nasr در بخش برنامه نویسی در Delphi
    پاسخ: 10
    آخرین پست: سه شنبه 23 دی 1382, 07:44 صبح

قوانین ایجاد تاپیک در تالار

  • شما نمی توانید تاپیک جدید ایجاد کنید
  • شما نمی توانید به تاپیک ها پاسخ دهید
  • شما نمی توانید ضمیمه ارسال کنید
  • شما نمی توانید پاسخ هایتان را ویرایش کنید
  •