Для чего это поле на Тостере?

Question

[jasonOk]

Вопрос немного глупый, но всё же

При входе или регистрации на Тостере (вернее tmtm.ru) есть скрытый input, у меня он такой

<input type="hidden" name="state" value="7d5ff819-b9db-4aa4-8bf1-b4c65122c4"/>

Это какой-то уникальный идентификатор, или что-то другое? С какой целью он передаётся в форме?

Answer 1

[khipster]

Межсайтовая подделка запроса.

В hhtp есть косяк, так же как картинку можно загрузить с другого сайта, можно и форму отправить на другой сайт. Т.е. злоумышленник может от твоего имени отправить форму на др. сайт на котором ты залогинен, если ты случайно попадёшь на сайт злоумышленника (пройдешь по ссылке в письме например). Так можно поставить кому нибудь плюс Вконтакте от твоего имени или перевести деньги. Но злоумышленник не может увидеть этот код: 7d5ff819-b9db-4aa4-8bf1-b4c65122c4, поэтому и подделать он его не сможет. Причём код этот всегда разный (используется односторонняя функция), т.е. злоумышленник не может зайти на нужный сайт, скопировать этот код и вставить на свой плохой с которого форма отправляется.

Comments

[jasonOk]

Где можно об этом почитать подробней? Я имею в виду, например, про функцию, которая генерирует код и её обработчик

[Антон Измайлов]

jasonOk: https://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D... и копайте в сторону csrf

[jasonOk]

Антон Измайлов: ещё вопрос: https же как раз защищает от подобных атак?

[Outoverlay]

jasonOk: там используется шифрование. Там защищено практически все, если у злоумышленника нет secret_key. Если же него есть secret_key, то он может похитить все эти данные.

[Outoverlay]

jasonOk: вернее расшифровать

[nirvimel]

jasonOk: От подобных атак легко защищают прямые руки разработчика бекенда, который должен был позаботиться чтобы любые действия (actions) от имени юзера (типа, поставить лайк) должны выполняться только через POST запросы, но никак не через GET.

[khipster]

nirvimel: POST защищает от межсайтовой подделки запроса?

[nirvimel]

khipster: Нет. Он защищает от существования ссылок (URL), клик по которым приводит к постановке лайка.

[khipster]

nirvimel: Не понял. POST ведь тоже можно подделать.

[nirvimel]

khipster: URL соответствует ресурсу, получаемому методом GET. Для других HTTP-методов нет возможности сконструировать URL. (Не помню в каком RFC это прописано). Использование других HTTP-методов возможно только программно через скрипты на странице, или парсеры (для POST также существует возможность отправки через формы ввода на странице).

[khipster]

nirvimel: Ну так url ведет на страницу злоумышленника, а на странице скрытая форма отправляющая POST запрос по событию загрузки страницы.

[nirvimel]

khipster: Я не отрицаю, что для полноценной защиты от XSS одного только POST недостаточно. Просто, POST на любые action - это то, с чего следует начинать при проектировании защищенного бекенда. А мой первоначальный комментарий относился к вопросу: "достаточно ли HTTPS для защиты от XSS?". Возможно, слово "легко" с моей стороны было лишним.

Answer 2

[sim3x]

https://en.wikipedia.org/wiki/Cross-site_request_f...

нет, https не про ето

хттпс - "я уверен, что я получил страницу с того сервера с которого нужно"
защита цсрф - "сервер уверен, что данные отправлены с той страницы, которую сервер отправил пользователю"