Почему csrf не кладут в Cookie?

Question

[Кирилл Несмеянов]

Зачастую, для упрощения работы - токен вешают в meta теги и выдирают его, когда требуется. Пишут хелперы или другие обёртки.

Но вот что подумалось - я никогда не видел, чтоб csrf сохраняли в кукисах (даже http-only). Ведь это действительно проще в использовании - в будущем не потребуется никаких телодвижений для отправки данных (пусть и таких пустяковых). Есть какие-то грабли, о которых сразу не догадаешься?

Answer 1

[apasen]

Ее же можно подделать.

Comments

[Кирилл Несмеянов]

Куку? Каким образом?

Answer 2

[DaNHell]

Так вообще-то именно в этом и суть)

Токен генерируется при каждом запросе новый и устанавливается в cookies пользователя а также добавляется в параметры форм и ссылок на странице:

И затем при получении каждого запроса сравнивается токен из куков и токен указанный в параметрах формы. И если они одинаковы, то источник запроса легален. Затем токен генерируется снова, и снова устанавливается в куки, и т.д. по кругу.

Comments

[Кирилл Несмеянов]

При каждом запросе - это чушь какая-то, ибо можно открыть что-то на новой вкладке и тогда форма станет невалидной. Может вы имели ввиду "в течение одной сессии"?

[DaNHell]

SerafimArts: в таком случае:
Форма будет валидной т.к. с открытием в новой вкладке Referer никуда не исчезает. Однако его легко подделать.
Либо - форма будет не рабочая до обновления страницы в этой открытой вкладке.

[Кирилл Несмеянов]

DaNHell: нерабочая форма - это какой-то страшный сон.

Но всё равно не понимаю каким образом можно подделать цсрф. Этож надо найти уязвимость, которая позволит прочитать хттпонли куку (т.к. подобрать 32+ символьный ключик за время сессии и найти уязвимость, которая позволит из адресной строки пробросить её в кукисы - сложнее), т.е. фактически взломать сервер, но в таком случае ломать сервер ради обхода цсрф - как-то глупо.

[DaNHell]

SerafimArts: CSFR это не уязвимость. CSFR это метод атаки
Так зачем подбирать? Если нет защиты токенами то нужно жертву заставить посетить нашу ловушку, самое типичное "< img ..." с отправкой указанными параметрами. Аналогия xxs.
Обычно защищают формы играющие роль как авторизация, изменение/выполнение и тд каких либо важных операций. А обычная форма search ничего и не даст злоумышленнику.
Однако не работающие формы как раз подстраховка для админа, элементарно найти не рабочую, и исправить csfr защиту.

[Кирилл Несмеянов]

DaNHell: повторю вопрос, каким образом кто-то постронний сможет узнать этот csrf токен, хранящийся в хттпонли кукисах, пусть даже он напрямую завязан на пароле (т.е. не вообще не безопасен)?

Answer 3

[BelirafoN]

А кто знает как это реализовано в Laravel? Как-то не укладывается работа Laravel с csrf-токеном в приведенную схему.

Токен в cookies не кладется, там лежит только сессия, которая, ясен фиг, не перегенерируется между запросами. CSRF-токен, которым подписана форма, или вся страница (в мета-тэге) тоже статичен, иначе не работали бы ajax-запросы.

Выходит, что в Laravel схема подписи csrf-токеном неполноценна. Значительно упрощенный вариант?