ויקיפדיה

CSRF – הבדלי גרסאות

עיון אינטראקטיבי בהיסטוריה
→ העריכה הקודמתהעריכה הבאה ←
תוכן שנמחק תוכן שנוסף
חזותיקוד ויקי
←‏מניעה: התקפות פעילים, או התקפות פעילות?
←‏מניעה: הגהה, עריכה קלה
שורה 66:
#* פתרון יעיל לבעיה זו הוא לבצע התנתקות מהאתר שבו בוצעה הפעולה מיד לאחר סיומה ולא לאפשר לדפדפן האינטרנט לשמור את ססמת האפליקציה.
# דפדפן הקורבן חייב לשלוח לאתר היעד בקשה לביצוע פעולה לא רצויה.
#* פתרון יעיל לבעיה זו יהיה הימנעות מלחיצה על קישורים/ או תמונות בתכתובות דואר אלקטרוני, ביקורולהימנע מביקור באתרים לא -מוכרים והזנת פרטים אישיים.
 
ג'רמיה גרוסמן, מומחה לאבטחת מידע בחברת [[WhiteHat Security]], משתמש בדפדפן נפרד לגלישה באינטרנט ואחר לעבודה מול שירות בנקאות אשר משמש אך ורק למטרה זו.
 
ישנן מספר שיטות שמקשיםשל למפתחימפתחי אתרים המקשות ביצועלבצע התקפות CSRF:
# הגבלת זמן השהייה בחשבון - פקיעת תוקף לאחר זמן מסוים בו לא בוצעה שום פעולה.
# יש לבקש אישור מהמשתמש בעבור כל פעולה חשובה המתבצעת באתר.
# בעבור כל שליחת טופס ניתן להוסיף שדה נסתר המכיל מספר פסאודו -אקראי אשר יוגש עם הבקשה לביצוע פעולה, ואם הערך לא יוצג בטופס, השרת יתעלם מהפעולה.
# אימות הכותרת המפנה (referrer header), אשר מבטיח כי הערך זמין רק עבור סקריפטים מהדף המקורי.
# ביצוע פעולה חשודה תישלחישלח הודעת [[SMS]] אל ישירות אל המשתמש מיד לאחר ניסיון הביצוע.
# שליחת בקשות בשיטת [[HTTP POST|POST]] ולא באמצעות [[HTTP GET|GET]].
 
אוחזר מתוך "https://he.wikipedia.org/wiki/CSRF"