CSRF – הבדלי גרסאות
תוכן שנמחק תוכן שנוסף
←מניעה: התקפות פעילים, או התקפות פעילות? |
←מניעה: הגהה, עריכה קלה |
||
שורה 66:
#* פתרון יעיל לבעיה זו הוא לבצע התנתקות מהאתר שבו בוצעה הפעולה מיד לאחר סיומה ולא לאפשר לדפדפן האינטרנט לשמור את ססמת האפליקציה.
# דפדפן הקורבן חייב לשלוח לאתר היעד בקשה לביצוע פעולה לא רצויה.
#* פתרון יעיל לבעיה זו יהיה הימנעות מלחיצה על קישורים
ג'רמיה גרוסמן, מומחה לאבטחת מידע בחברת [[WhiteHat Security]], משתמש בדפדפן נפרד לגלישה באינטרנט ואחר לעבודה מול שירות בנקאות אשר משמש אך ורק למטרה זו.
ישנן מספר שיטות
# הגבלת זמן השהייה בחשבון - פקיעת תוקף לאחר זמן מסוים בו לא בוצעה שום פעולה.
# יש לבקש אישור מהמשתמש בעבור כל פעולה חשובה המתבצעת באתר.
# בעבור כל שליחת טופס ניתן להוסיף שדה נסתר המכיל מספר פסאודו
# אימות הכותרת המפנה (referrer header), אשר מבטיח כי הערך זמין רק עבור סקריפטים מהדף המקורי.
# ביצוע פעולה חשודה
# שליחת בקשות בשיטת [[HTTP POST|POST]] ולא באמצעות [[HTTP GET|GET]].
|